Regístrate gratis
Bases jurídicas del tratamiento: art. 6 RGPD y datos sensibles
Las seis bases jurídicas del art. 6 RGPD, la diferencia entre consentimiento, obligación legal, interés público e interés legítimo, y la doble legitimación...
Todo tratamiento de datos personales necesita una base jurídica. Esa exigencia está en el art. 6 RGPD y es la primera pregunta que debe hacerse el responsable antes de tratar datos: no qué dato quiero, sino qué título jurídico me permite tratarlo.
La base jurídica no sustituye a los principios del art. 5 RGPD. Un tratamiento puede tener una base válida y seguir siendo contrario al RGPD si incumple minimización, transparencia, seguridad o plazo de conservación. En sentido inverso, aunque el tratamiento sea proporcionado y seguro, será ilícito si no encaja en ninguna base del art. 6.
Las seis bases del art. 6.1 RGPD
| Letra | Base jurídica | Fórmula de examen | Ejemplo típico |
|---|---|---|---|
| a | Consentimiento | El interesado acepta mediante acto afirmativo claro. | Suscribirse a comunicaciones comerciales no necesarias. |
| b | Contrato o medidas precontractuales | Necesario para ejecutar un contrato o aplicar medidas solicitadas antes de contratar. | Gestionar el envío de una compra online. |
| c | Obligación legal | Necesario para cumplir una obligación legal del responsable. | Conservación de facturas por normativa tributaria. |
| d | Intereses vitales | Necesario para proteger vida o integridad del interesado u otra persona. | Atención sanitaria urgente a una persona inconsciente. |
| e | Interés público o poderes públicos | Necesario para una misión de interés público o ejercicio de poderes públicos. | Tratamientos administrativos previstos por ley. |
| f | Interés legítimo | Interés legítimo del responsable o tercero, salvo que prevalezcan derechos del interesado. | Prevención de fraude en ciertos servicios privados, previa ponderación. |
La AEPD subraya que la base debe identificarse y documentarse. No vale cambiarla después para salvar un tratamiento mal diseñado: debe informarse al interesado de la base jurídica en el momento oportuno.
Consentimiento: no es la base universal
El consentimiento del RGPD debe ser libre, específico, informado e inequívoco. No cabe consentimiento por silencio, casillas premarcadas o inactividad. Cuando el tratamiento requiera consentimiento explícito, como ocurre en determinadas excepciones del art. 9 RGPD o en decisiones automatizadas del art. 22, se exige una manifestación reforzada.
El responsable debe poder demostrar que el interesado consintió. Además, retirar el consentimiento debe ser tan fácil como prestarlo. La retirada no convierte en ilícito lo realizado antes, pero impide seguir tratando sobre esa base desde ese momento.
En España, el art. 7 LOPDGDD fija en 14 años la edad a partir de la cual el menor puede consentir por sí mismo el tratamiento de sus datos en los términos de la norma. Por debajo de esa edad, el consentimiento corresponde a titulares de la patria potestad o tutela, con el alcance que determinen.
Obligación legal e interés público
Las bases de obligación legal y misión de interés público o poderes públicos requieren apoyo en el Derecho de la Unión o de los Estados miembros. En España, el art. 8 LOPDGDD precisa que el tratamiento fundado en obligación legal, interés público o ejercicio de poderes públicos debe derivar de una norma con rango de ley cuando así resulte exigible.
Esto es esencial para Administraciones públicas: no pueden tratar datos porque les resulte conveniente, sino porque una norma les atribuye una competencia, obligación o potestad y el tratamiento es necesario para ejercerla.
Interés legítimo: ponderación y límite público
El interés legítimo exige una triple prueba: que exista un interés legítimo, que el tratamiento sea necesario para perseguirlo y que no prevalezcan los intereses, derechos y libertades del interesado. Debe documentarse la ponderación.
Trampa clásica: el último párrafo del art. 6.1 RGPD excluye que las autoridades públicas utilicen el interés legítimo del art. 6.1.f en el ejercicio de sus funciones. En ese ámbito deben acudir normalmente a obligación legal o misión de interés público/poderes públicos.
Categorías especiales: segundo candado del art. 9
Si el tratamiento afecta a categorías especiales de datos, no basta con una base del art. 6. Además hay que superar la prohibición general del art. 9.1 RGPD mediante una excepción del art. 9.2.
Son categorías especiales: origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca, datos relativos a la salud y datos relativos a la vida sexual u orientación sexual.
Las excepciones del art. 9.2 incluyen, entre otras, consentimiento explícito, obligaciones y derechos laborales y de seguridad social, intereses vitales, entidades sin ánimo de lucro con finalidad política, filosófica, religiosa o sindical, datos hechos manifiestamente públicos, reclamaciones, interés público esencial, medicina preventiva o laboral, salud pública, archivo en interés público, investigación científica o histórica y fines estadísticos.
Datos penales: art. 10 RGPD y art. 10 LOPDGDD
Los datos relativos a condenas e infracciones penales tienen regla propia. El art. 10 RGPD exige que el tratamiento se realice bajo control de la autoridad pública o cuando lo autorice el Derecho de la Unión o de los Estados miembros con garantías adecuadas.
En España, el art. 10 LOPDGDD permite el tratamiento de datos penales cuando esté amparado en una norma de Derecho de la Unión, en la LOPDGDD o en otras normas con rango de ley. Fuera de esos casos, el tratamiento generalizado de antecedentes o infracciones penales por entidades privadas es especialmente problemático.
Para test
- Art. 6.1 RGPD tiene seis bases: consentimiento, contrato, obligación legal, interés vital, interés público/poderes públicos e interés legítimo.
- No todo se legitima por consentimiento; en el sector público suelen dominar obligación legal e interés público.
- Las autoridades públicas no pueden invocar interés legítimo en el ejercicio de sus funciones.
- Categorías especiales: hacen falta dos capas: base del art. 6 y excepción del art. 9.2.
- Datos penales: regla específica del art. 10 RGPD y art. 10 LOPDGDD.
- El consentimiento se puede retirar, pero la retirada no afecta a la licitud anterior.
- En España, edad ordinaria del consentimiento digital del menor: 14 años.
Fuentes oficiales
¿Te ha sido útil?
Crea tu cuenta gratis y accede a más recursos para tu oposición
🚀 Regístrate gratis