Protección de Datos

Bases jurídicas del tratamiento de datos: art. 6 RGPD

Las 6 bases del art. 6.1 RGPD detalladas (consentimiento, contrato, obligación legal, intereses vitales, interés público, interés legítimo), doble candado

Por Laura Sánchez Revisado por Carlos López, editor jefe Actualizado el 10 de junio de 2026

Portada de Opotips sobre bases jurídicas del tratamiento del artículo 6 RGPD

Toda actividad de tratamiento de datos personales necesita una base jurídica del art. 6 del Reglamento (UE) 2016/679 (RGPD). Es la primera pregunta antes de cualquier otra consideración: no qué dato quiero usar, sino qué título jurídico me permite tratarlo. Esta guía recoge las seis bases del art. 6.1 RGPD con sus matices, la articulación con el art. 9 (categorías especiales) y el art. 10 (datos penales), la prohibición del interés legítimo para autoridades públicas y la jurisprudencia troncal del TJUE.

Marco normativo

Norma Contenido
Reglamento (UE) 2016/679 (RGPD) Marco europeo de protección de datos
Art. 6 RGPD Bases jurídicas (licitud del tratamiento)
Art. 9 RGPD Categorías especiales de datos
Art. 10 RGPD Datos relativos a condenas e infracciones penales
LO 3/2018 LOPDGDD Norma nacional complementaria
Art. 8 LOPDGDD Tratamiento por obligación legal o interés público
Art. 10 LOPDGDD Datos relativos a infracciones y condenas
Art. 7 LOPDGDD Consentimiento menores (14 años)
Directiva (UE) 2016/680 Régimen específico de tratamiento penal
STJUE Schrems II (C-311/18) Transferencias internacionales
STJUE Fashion ID (C-40/17) Corresponsabilidad
AEPD: guías y resoluciones Doctrina nacional

Por qué importa la base jurídica

Función Detalle
Legitima el tratamiento Sin base, el tratamiento es ilícito (sanción AEPD)
Determina derechos del interesado Algunos derechos varían según la base (oposición, portabilidad)
Debe identificarse antes No se puede "elegir después" para salvar un tratamiento mal diseñado
Debe informarse Al interesado en el momento de la recogida (art. 13-14 RGPD)
Debe documentarse Principio de responsabilidad proactiva (art. 5.2 RGPD)

Las seis bases del art. 6.1 RGPD

"El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:"

Letra Base Estándar Ejemplo
a) Consentimiento Libre, específico, informado e inequívoco; acto afirmativo Suscripción a newsletter
b) Contrato o medidas precontractuales Necesario para ejecutar contrato del interesado Gestión de pedido online
c) Obligación legal Necesario para cumplir obligación del responsable Facturación tributaria
d) Intereses vitales Necesario para proteger vida o integridad del interesado u otra persona Atención sanitaria a inconsciente
e) Interés público o poderes públicos Necesario para misión de interés público o ejercicio de poderes públicos Tratamientos administrativos legalmente previstos
f) Interés legítimo Interés legítimo del responsable o tercero, salvo prevalencia de derechos del interesado Prevención de fraude (con ponderación)

Base a) — Consentimiento (art. 4.11 + art. 7 RGPD)

Requisitos acumulativos

Requisito Detalle
Libre Sin condicionar prestación, sin desequilibrio
Específico Para finalidades concretas, no genéricas
Informado Tras recibir información del art. 13 RGPD
Inequívoco Mediante acto afirmativo claro
Documentable El responsable debe poder demostrar que se prestó
Revocable Tan fácil de retirar como de prestar

Lo que NO es consentimiento RGPD

  • Silencio o inactividad.
  • Casillas premarcadas (STJUE Planet49, C-673/17).
  • "Consentimiento" forzado para acceder al servicio.
  • Aceptación genérica de términos y condiciones.

Edad del consentimiento digital (art. 7 LOPDGDD)

Edad Régimen
≥ 14 años Consentimiento por sí mismo
< 14 años Consentimiento de titulares de patria potestad o tutela

El RGPD permite a los Estados miembros fijar edades entre 13 y 16. España opta por 14 años.

Base b) — Contrato (art. 6.1.b)

  • Aplica cuando el interesado es parte del contrato o solicita medidas precontractuales.
  • Necesidad: el dato debe ser indispensable para el contrato, no útil o accesorio.
  • Doctrina TJUE: la "necesidad" se interpreta restrictivamente (STJUE Meta Platforms C-252/21, 2023).

Trampa típica: usar el contrato como base para tratamientos accesorios no esenciales (publicidad, analítica). El TJUE rechaza esta interpretación expansiva.

  • Necesidad de obligación específica del responsable establecida en Derecho de la Unión o de un Estado miembro.
  • La norma debe ser clara y precisa, accesible al interesado, previsible.
  • En España, el art. 8 LOPDGDD precisa que en obligación legal y misión de interés público debe ampararse en norma con rango de ley cuando así resulte exigible.
Ejemplo Norma habilitante
Conservación facturas Ley 58/2003 General Tributaria + RD 1619/2012
Comunicación cuentas bancarias Ley 10/2010 prevención blanqueo
Datos laborales Estatuto Trabajadores + LGSS
Padrón municipal Ley 7/1985 LRBRL + RD 2612/1996

Base d) — Intereses vitales (art. 6.1.d)

Aplicación residual. Solo cuando el interesado o un tercero está en riesgo vital concreto y no puede consentir.

Aplica No aplica
Hospital trata datos de inconsciente Tratamiento ordinario rutinario
Donación de órganos Marketing dirigido a personas vulnerables
Emergencia humanitaria Conveniencia administrativa

Base e) — Interés público o poderes públicos (art. 6.1.e)

Es la base habitual de las Administraciones públicas en el ejercicio de sus competencias.

Requisito Detalle
Misión de interés público Definida en Derecho UE o estatal
Ejercicio de poderes públicos Confiados al responsable
Habilitación legal Norma con rango de ley (art. 8 LOPDGDD)
Competencia atribuida El responsable debe ser competente para la misión

Ejemplos: Hacienda recauda tributos (Ley General Tributaria), Policía investiga delitos (LECrim + LO 2/1986), Seguridad Social gestiona prestaciones (LGSS).

Base f) — Interés legítimo (art. 6.1.f)

Triple prueba (test de Considerando 47 + STJUE Fashion ID)

Test Pregunta
1. Interés legítimo ¿Existe un interés real, presente y lícito?
2. Necesidad ¿Es necesario el tratamiento para ese interés?
3. Ponderación ¿No prevalecen los derechos y libertades del interesado?

Trampa crítica: exclusión para autoridades públicas

"Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones." (art. 6.1 último párrafo RGPD)

Sujeto Puede usar interés legítimo
Autoridades públicas en sus funciones NO
Empresa privada Sí, con triple prueba
Autoridades públicas como personal/contratante Sí en ámbitos no de potestad

Las autoridades públicas deben acudir normalmente a obligación legal (6.1.c) o misión de interés público (6.1.e), no a interés legítimo.

Art. 9 RGPD — Categorías especiales (doble candado)

Si el tratamiento afecta a categorías especiales, no basta una base del art. 6: además hace falta superar la prohibición del art. 9.1 con una excepción del art. 9.2.

Categorías especiales del art. 9.1

Categoría Ejemplos
Origen étnico o racial Etnia, nacionalidad de origen
Opiniones políticas Voto, afiliación
Convicciones religiosas o filosóficas Religión, vegetarianismo radical
Afiliación sindical Sí/no, sindicato
Datos genéticos ADN, herencia
Datos biométricos para identificación única Huella, iris, facial con fines de ID
Datos de salud Diagnósticos, tratamientos
Vida sexual u orientación sexual Heterosexual/homosexual/etc.

Las 10 excepciones del art. 9.2

Letra Excepción
a) Consentimiento explícito
b) Obligaciones y derechos laborales y de seguridad social
c) Intereses vitales si el interesado no puede consentir
d) Entidades sin ánimo de lucro políticas/religiosas/sindicales
e) Datos hechos manifiestamente públicos por el interesado
f) Reclamaciones
g) Interés público esencial sobre base UE/estatal
h) Medicina preventiva/laboral, salud, gestión sanitaria
i) Salud pública
j) Archivo, investigación científica/histórica, fines estadísticos

Art. 10 RGPD — Datos penales

Aspecto Detalle
Regla general Tratamiento solo bajo control de autoridad pública o cuando lo autorice Derecho UE o estatal
Excepción privada Muy limitada (art. 10 LOPDGDD)
Garantías Adecuadas según la norma habilitante
Penalidad Tratamiento generalizado de antecedentes por privados es especialmente problemático

Casos prácticos

Caso 1 — App comercial

Tratamiento Base
Crear cuenta de usuario b) Contrato
Procesar pedido b) Contrato
Enviar newsletter a) Consentimiento
Análisis de comportamiento para mejorar producto f) Interés legítimo (con ponderación)
Cumplir obligaciones fiscales c) Obligación legal
Prevenir fraude f) Interés legítimo

Caso 2 — Ayuntamiento

Tratamiento Base
Empadronamiento e) Interés público + Ley 7/1985
Multa de tráfico e) Poder público + RDL 6/2015
Recaudación IBI c) Obligación legal + LGT
Cita previa para servicio e) Interés público
Boletín municipal voluntario a) Consentimiento
Datos sanitarios para servicios sociales e) + 9.2.h

Caso 3 — Empresa con cámaras

Tratamiento Base
Videovigilancia perímetro f) Interés legítimo (con cartel)
Control horario por huella c) Obligación legal + 9.2.b
Datos de baja médica b) Contrato + 9.2.b/h

Seis trampas reales del examen

  1. "Todo se legitima por consentimiento" — Falso. En sector público dominan obligación legal e interés público; en privado, contrato e interés legítimo.
  2. "Las autoridades públicas pueden usar interés legítimo" — Falso. El art. 6.1 último párrafo lo excluye expresamente en el ejercicio de sus funciones.
  3. "Categorías especiales solo necesitan base del art. 6" — Falso. Doble candado: base del art. 6 + excepción del art. 9.2.
  4. "El consentimiento puede ser por silencio" — Falso. Tras Planet49 (C-673/17), exige acto afirmativo claro; no valen casillas premarcadas.
  5. "La edad del consentimiento RGPD es 16 años" — Falso. En España, 14 años (art. 7 LOPDGDD); el RGPD permite a Estados entre 13 y 16.
  6. "Una vez retirado el consentimiento, todo lo tratado deviene ilícito" — Falso. La retirada no afecta a la licitud anterior, solo a tratamientos posteriores.

Jurisprudencia TJUE relevante

  • Planet49 (C-673/17, 2019) — casillas premarcadas no son consentimiento válido.
  • Fashion ID (C-40/17, 2019) — responsabilidad compartida y carga de informar.
  • Meta Platforms (C-252/21, 2023) — interpretación restrictiva de "necesario para contrato".
  • Schrems II (C-311/18, 2020) — transferencias internacionales.
  • Bashar Ibrahim (C-205/21, 2024) — sobre datos penales y autoridades policiales.
  • TC español varias — sobre habeas data y autodeterminación informativa.

Reformas y novedades 2024-2026

  • RGPD Light (Reglamento UE 2024/903) — simplificaciones para pymes.
  • Reglamento ePrivacy — en tramitación parlamentaria.
  • Reglamento (UE) 2024/1183 eIDAS 2 — identidad digital europea con tratamiento de datos.
  • Directiva (UE) 2022/2557 CER + NIS2 — datos en infraestructuras críticas.

Fuentes oficiales

Posts hermanos

Guía revisada el 27 de mayo de 2026 con el RGPD (UE 2016/679), la LO 3/2018 LOPDGDD, las Directivas UE 2016/680 y 2022/2557, y la jurisprudencia troncal del TJUE (Planet49, Fashion ID, Meta Platforms, Schrems II).

Preguntas frecuentes

¿Cuántas bases jurídicas tiene el art. 6 RGPD?

Seis: a) consentimiento, b) contrato o medidas precontractuales, c) obligación legal, d) intereses vitales, e) interés público o ejercicio de poderes públicos, f) interés legítimo. Todo tratamiento de datos personales debe encajar en al menos una; sin base, el tratamiento es ilícito.

¿Pueden las autoridades públicas usar el interés legítimo?

No en el ejercicio de sus funciones. El art. 6.1 último párrafo RGPD lo excluye expresamente. Las Administraciones deben acudir normalmente a la obligación legal (6.1.c) o a la misión de interés público y ejercicio de poderes públicos (6.1.e), con la habilitación por norma con rango de ley que exige el art. 8 LOPDGDD.

¿Qué requisitos tiene un consentimiento RGPD válido?

Cinco: libre (sin desequilibrio ni condicionado), específico (finalidades concretas), informado (tras información del art. 13), inequívoco (acto afirmativo claro) y documentable (responsable debe poder demostrarlo). Tras la STJUE Planet49 (C-673/17), las casillas premarcadas no son consentimiento válido. Debe poder retirarse tan fácilmente como se prestó.

¿Bastan las bases del art. 6 para tratar datos de salud o ideología?

No. Las categorías especiales del art. 9.1 RGPD (origen étnico, opiniones políticas, convicciones, afiliación sindical, datos genéticos, biométricos para ID, salud, vida sexual) tienen "doble candado": además de una base del art. 6, debe concurrir una de las 10 excepciones del art. 9.2 (consentimiento explícito, derechos laborales, intereses vitales, datos públicos, interés público esencial, medicina, salud pública, archivo, etc.).

¿A qué edad puede consentir un menor en España?

A partir de los 14 años (art. 7 LOPDGDD), que es la edad que España ha fijado dentro del margen 13-16 que permite el art. 8 RGPD. Por debajo de esa edad, el consentimiento corresponde a los titulares de la patria potestad o tutela, con el alcance que determinen.

¿Qué dice el art. 10 RGPD sobre los datos penales?

Que solo pueden tratarse bajo control de la autoridad pública o cuando lo autorice el Derecho de la Unión o de un Estado miembro con garantías adecuadas. En España, el art. 10 LOPDGDD permite el tratamiento amparado en norma con rango de ley. El tratamiento generalizado de antecedentes por privados está fuertemente restringido y suele requerir habilitación expresa.

También te conviene repasar

Ver todas las guías de Protección de Datos →
Principios del RGPD: el art. 5 explicado para oposiciones

Los 7 principios del art. 5 RGPD (licitud-lealtad-transparencia, limitación de finalidad, minimización, exactitud, plazo, integridad y confidencialidad

 Consentimiento vs interés legítimo en el RGPD (art. 6.1)

Las 6 bases jurídicas del art. 6.1 RGPD: consentimiento (art. 4.11 y 7), ejecución contrato, obligación legal, intereses vitales, interés público e

 Derechos ARSULIPO del interesado: arts. 15-22 RGPD

Derechos del interesado del RGPD (acceso, rectificación, supresión-olvido, limitación, portabilidad, oposición, decisiones automatizadas): arts.

 Derechos digitales del Título X LOPDGDD: arts. 79-97

Los 19 derechos digitales del Título X LO 3/2018 LOPDGDD por bloques: ciudadanía digital (79-84), rectificación/actualización (85-86), laborales (87-91)

 Protección de datos en el sector público: claves RGPD

Protección de datos en el sector público para oposiciones: RGPD, LOPDGDD, principios, derechos, bases jurídicas y obligaciones básicas.

 AEPD: funciones, poderes y régimen sancionador

AEPD como autoridad administrativa independiente: arts. 44-78 LOPDGDD + 51-58 y 83 RGPD, poderes correctivos, procedimientos (12/6/3 meses), prescripción

Regístrate y sigue repasando gratis

Accede a más de 100 esquemas y reglas mnemotécnicas para preparar tu oposición.

Crear cuenta gratis
+100 recursos gratis Esquemas y mnemotecnia Registro