Regístrate gratis
Bases jurídicas para el tratamiento de datos (art. 6 RGPD)
Las seis bases jurídicas del art. 6 RGPD que legitiman cualquier tratamiento: consentimiento, contrato, obligación legal, interés vital, interés público e...
Para que un tratamiento de datos sea lícito, debe contar con una base jurídica del art. 6 del RGPD (texto oficial en BOE/DOUE). Sin base jurídica, el tratamiento es ilícito, por mucho que se respeten el resto de principios. Si además se manejan categorías especiales (datos sensibles), se exige una segunda capa de legitimación del art. 9. En España, la LOPDGDD (texto consolidado en BOE) concreta reglas relevantes en sus arts. 6 a 11.
Las seis bases del art. 6.1 RGPD
| # | Base jurídica | Texto del artículo |
|---|---|---|
| a | Consentimiento | El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. |
| b | Contrato | El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales. |
| c | Obligación legal | El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable. |
| d | Interés vital | El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física. |
| e | Interés público / ejercicio de poderes públicos | El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable. |
| f | Interés legítimo | El tratamiento es necesario para la satisfacción de intereses legítimos del responsable o de un tercero, salvo que prevalezcan los derechos y libertades del interesado. |
Consentimiento (art. 6.1.a + art. 7 + art. 4.11)
Debe ser libre, específico, informado e inequívoco, manifestado mediante declaración o acción afirmativa clara. No vale el silencio ni las casillas premarcadas. El interesado puede retirarlo en cualquier momento con la misma facilidad con la que lo dio (art. 7.3), sin que la retirada afecte a la licitud del tratamiento previo.
LOPDGDD, art. 7: edad mínima de consentimiento en España es 14 años (en el RGPD el suelo general es de 16, con margen para que cada Estado lo baje hasta 13). Por debajo, consentimiento de quienes ejerzan la patria potestad o tutela.
Contrato (art. 6.1.b)
El tratamiento debe ser necesario para ejecutar el contrato. No basta con que el contrato lo prevea: la necesidad es objetiva. Cubre también las medidas precontractuales a petición del interesado (presupuestos, simulaciones).
Obligación legal (art. 6.1.c)
Requiere que la base esté establecida por el Derecho de la Unión o de los Estados miembros; en España, el art. 8 LOPDGDD exige norma de Derecho de la UE o norma con rango de ley cuando el tratamiento se funde en obligación legal, interés público o ejercicio de poderes públicos. No basta una directriz interna. Ejemplos: declaraciones fiscales, comunicación a autoridades, registros administrativos o tratamientos policiales con cobertura normativa.
Interés vital (art. 6.1.d)
Pensado para situaciones de emergencia: traslado a urgencias de una persona inconsciente, riesgo grave para la integridad física. Es residual: solo procede cuando otras bases no son viables (cdo. 46 RGPD).
Interés público / ejercicio de poderes públicos (art. 6.1.e)
Típica de Administraciones Públicas: censo, padrón, registros, actuaciones policiales no judiciales. La base debe estar establecida por el Derecho de la Unión o del Estado miembro (art. 6.3).
Interés legítimo (art. 6.1.f)
La más flexible y la más controvertida. Exige un test de ponderación entre los intereses del responsable o un tercero y los derechos y libertades del interesado. Considerandos 47-49 del RGPD orientan: marketing directo (con ciertas limitaciones), prevención del fraude, seguridad de la red, intereses del grupo empresarial, etc. No es aplicable al tratamiento por autoridades públicas en el ejercicio de sus funciones (art. 6.1 último párrafo).
Categorías especiales: el art. 9 RGPD
El art. 9 prohíbe, con carácter general, el tratamiento de datos que revelen:
- Origen étnico o racial.
- Opiniones políticas.
- Convicciones religiosas o filosóficas.
- Afiliación sindical.
- Datos genéticos.
- Datos biométricos dirigidos a identificar de manera unívoca a una persona.
- Datos relativos a la salud.
- Vida sexual u orientación sexual.
Solo pueden tratarse si concurre alguna de las diez excepciones del art. 9.2:
| Letra | Excepción |
|---|---|
| a | Consentimiento explícito. |
| b | Ámbito del derecho laboral, seguridad social y protección social. |
| c | Interés vital cuando el interesado no pueda dar consentimiento. |
| d | Asociaciones sin ánimo de lucro (políticas, religiosas, sindicales). |
| e | Datos hechos manifiestamente públicos por el interesado. |
| f | Reclamaciones, actuaciones judiciales o defensa jurídica. |
| g | Interés público esencial con cobertura legal proporcionada. |
| h | Medicina preventiva o laboral, diagnóstico médico, asistencia sanitaria, secreto profesional. |
| i | Salud pública (amenazas transfronterizas, calidad y seguridad de la asistencia). |
| j | Archivo en interés público, investigación científica o histórica o fines estadísticos. |
La LOPDGDD desarrolla algunos puntos en sus arts. 9 (categorías especiales), 10 (datos de naturaleza penal) y 11 (información al afectado).
Datos de naturaleza penal (art. 10 RGPD + art. 10 LOPDGDD)
El tratamiento de datos relativos a condenas e infracciones penales solo puede llevarse a cabo bajo el control de las autoridades públicas o cuando esté autorizado por el Derecho de la Unión o del Estado miembro. En España, el art. 10 LOPDGDD lo restringe a tratamientos por autoridades competentes o por terceros si lo autoriza una norma con rango de ley o el Derecho de la UE.
Para test
- Memoriza las seis bases y el orden del art. 6.1 (a-f).
- El interés legítimo NO sirve a autoridades públicas en sus funciones.
- En España, el consentimiento del menor es válido desde los 14 años (art. 7 LOPDGDD).
- Los datos del art. 9 están prohibidos, salvo las diez excepciones del 9.2.
- Los datos penales se rigen por el art. 10: control de autoridad pública o cobertura legal.
- La retirada del consentimiento debe ser tan fácil como darlo (art. 7.3).
Preguntas frecuentes
¿Cuántas bases jurídicas para tratar datos existen?
Seis, recogidas en el art. 6.1 del RGPD: consentimiento, ejecución de un contrato, cumplimiento de una obligación legal, interés vital, misión de interés público o ejercicio de poderes públicos e interés legítimo. Cualquier tratamiento debe ampararse al menos en una de ellas.
¿Qué son las categorías especiales de datos?
Son los datos sensibles del art. 9 RGPD: origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos para identificación unívoca, datos de salud y datos sobre vida sexual u orientación sexual. Su tratamiento está prohibido salvo las diez excepciones del art. 9.2.
¿Puede una autoridad pública usar la base de interés legítimo?
No. El último párrafo del art. 6.1 RGPD excluye expresamente que las autoridades públicas usen el interés legítimo (art. 6.1.f) en el ejercicio de sus funciones. Deben acudir a obligación legal (6.1.c) o a misión de interés público o poderes públicos (6.1.e), con cobertura en la legislación de la UE o del Estado miembro.
¿A qué edad puede un menor consentir en España?
A los 14 años, según el art. 7 de la LOPDGDD. El RGPD fija con carácter general 16 años, pero permite a los Estados miembros bajarlo hasta 13. España opta por 14 años. Por debajo, deben consentir quienes ejerzan la patria potestad o tutela.
¿Qué pasa si retiro el consentimiento?
El tratamiento debe cesar para el futuro, pero los tratamientos realizados antes de la retirada siguen siendo lícitos (art. 7.3 RGPD). La retirada debe ser tan sencilla como otorgar el consentimiento; no puede penalizarse económicamente ni dificultarse técnicamente.
¿Te ha sido útil?
Crea tu cuenta gratis y accede a más recursos para tu oposición
🚀 Regístrate gratis