Uno de los errores más frecuentes que detectamos al acompañar a empresas en su adecuación al Reglamento (UE) 2016/679 (RGPD) es la confusión entre las distintas bases jurídicas del tratamiento. Muchas organizaciones recurren al consentimiento por inercia, sin valorar si existe una base más sólida, o invocan el interés legítimo sin haber realizado el preceptivo test de ponderación. Ambas situaciones pueden derivar en tratamientos ilícitos, con las consecuencias que ello implica según el artículo 83 del RGPD.
Este artículo analiza las seis bases jurídicas del artículo 6.1 del RGPD, expone cuándo procede cada una con ejemplos concretos y detalla el test de ponderación de tres pasos que la Agencia Española de Protección de Datos (AEPD) y el Comité Europeo de Protección de Datos (CEPD) exigen para fundamentar el interés legítimo.
Por qué elegir bien la base jurídica no es un trámite burocrático
El artículo 6.1 del RGPD establece que todo tratamiento de datos personales debe estar amparado en al menos una base jurídica válida. Sin base jurídica, el tratamiento es ilícito. Y la base jurídica no es intercambiable: si una empresa recabó consentimiento para un tratamiento concreto y luego quiere cambiar de base, debe analizarlo con cuidado, porque en muchos casos supondría reconocer que el consentimiento original no era necesario —o que los datos se trataron sin base válida durante un período.
Además, la elección de la base jurídica determina los derechos de los interesados aplicables. Por ejemplo, solo cuando el tratamiento se basa en el consentimiento o en el contrato existe el derecho a la portabilidad (art. 20 RGPD). Solo cuando el tratamiento se basa en el interés legítimo o en el interés público existe el derecho de oposición específico del artículo 21.1 (distinto del ejercido en tratamientos con fines de mercadotecnia directa). Elegir mal la base no es una formalidad: condiciona el régimen de derechos de los ciudadanos.
Las seis bases jurídicas del artículo 6.1 del RGPD
El artículo 6.1 enumera taxativamente las bases habilitantes. No existe ninguna más allá de estas seis:
| Letra | Base jurídica | Escenario típico | Derecho de oposición | Derecho de portabilidad |
|---|---|---|---|---|
| a) | Consentimiento del interesado | Newsletter de marketing, cookies analíticas, envío de publicidad personalizada | No (pero puede retirar el consentimiento) | Sí (art. 20 RGPD) |
| b) | Ejecución de un contrato o medidas precontractuales a petición del interesado | Gestión de pedidos, alta en plataforma, gestión de nóminas | No | Sí (art. 20 RGPD) |
| c) | Cumplimiento de una obligación legal | Contabilidad y fiscalidad, prevención de blanqueo de capitales, obligaciones laborales | No | No |
| d) | Protección de intereses vitales del interesado o de terceros | Comunicación de datos de salud en emergencias médicas | No | No |
| e) | Interés público o ejercicio de poderes públicos | Administraciones públicas, universidades, entidades de interés general | Sí (art. 21.1 RGPD) | No |
| f) | Interés legítimo del responsable o de un tercero | Videovigilancia de instalaciones, prevención del fraude, prospección comercial a clientes existentes | Sí (art. 21.1 RGPD) | No |
Base a): el consentimiento y sus requisitos estrictos
El consentimiento es, paradójicamente, la base jurídica más débil del artículo 6.1, aunque es la más conocida. El artículo 7 del RGPD y el considerando 32 establecen condiciones muy precisas: debe ser libre, específico, informado e inequívoco. No basta con que el interesado no haya marcado una casilla de exclusión; se requiere una acción positiva y afirmativa.
El consentimiento no es libre cuando:
- Su otorgamiento es condición para acceder a un servicio que podría prestarse sin ese tratamiento (consentimiento vinculado o bundled consent).
- Existe un desequilibrio de poder manifiesto entre responsable e interesado (relación empleador-empleado, especialmente sensible).
- Su retirada tiene consecuencias desproporcionadas para el interesado.
Además, el consentimiento puede retirarse en cualquier momento y con la misma facilidad con la que se otorgó (art. 7.3 RGPD). Esto obliga a disponer de mecanismos técnicos de revocación tan accesibles como los de captación. Si obtener el consentimiento requiere un clic y revocarlo implica enviar un correo y esperar una respuesta, el mecanismo no cumple el estándar del RGPD.
El consentimiento resulta adecuado cuando el tratamiento no puede justificarse por otra base más sólida —por ejemplo, el envío de comunicaciones comerciales a personas que no son clientes actuales, o el uso de cookies no estrictamente necesarias—. Para el resto de tratamientos habituales de una empresa, suele existir una base más apropiada.
Base b): el contrato, la base más subestimada
El artículo 6.1.b) del RGPD ampara el tratamiento cuando es necesario para la ejecución de un contrato en el que el interesado es parte, o para la aplicación de medidas precontractuales solicitadas por él. Esta base cubre, sin necesidad de consentimiento, todos los datos imprescindibles para prestar el servicio contratado.
La clave está en el adverbio necesario: el tratamiento debe ser objetivamente necesario para la finalidad contractual, no meramente conveniente o útil para el responsable. La AEPD y el CEPD (en sus directrices sobre la base contractual) han subrayado que no puede invocarse esta base para tratamientos adicionales al núcleo del contrato, como la elaboración de perfiles de comportamiento del usuario o la cesión de datos a terceros con fines propios.
Ejemplos claros de tratamientos amparados en la base b): gestión de pedidos en comercio electrónico, alta y gestión de cuentas de usuario, facturación, comunicación con el cliente sobre la prestación del servicio, gestión de nóminas y relación laboral.
Base c): la obligación legal, la más resistente a impugnaciones
Cuando una norma con rango legal obliga al responsable a tratar determinados datos, la base jurídica es el cumplimiento de una obligación legal (art. 6.1.c) RGPD). Esta base no requiere consentimiento del interesado y no puede ser bloqueada por él mediante el ejercicio del derecho de oposición.
Tratamientos habituales con esta base: conservación de facturas durante el plazo fijado por la Ley General Tributaria (4 años), obligaciones de comunicación a la Agencia Tributaria (modelo 347, retenciones, etc.), notificación de accidentes de trabajo a la Autoridad Laboral, obligaciones de prevención de blanqueo de capitales conforme a la Ley 10/2010, o la comunicación a las fuerzas y cuerpos de seguridad cuando así lo imponga la normativa.
Bases d) y e): intereses vitales e interés público
La base d) —protección de intereses vitales— está reservada para situaciones de urgencia en que el interesado no puede prestar consentimiento y está en juego su integridad física o la de terceros. Es de aplicación muy restringida en el entorno empresarial ordinario.
La base e) —interés público o ejercicio de poderes públicos— aplica principalmente a administraciones públicas, entidades de Derecho público y, en ciertos supuestos, a entidades privadas que ejercen funciones de interés general reconocidas legalmente. Una empresa privada ordinaria no puede invocar esta base de manera genérica.
Base f): el interés legítimo y el test de ponderación de tres pasos
El interés legítimo del responsable o de un tercero (art. 6.1.f) RGPD) es la base más flexible pero también la que exige mayor rigor en su justificación. No puede invocarse con una fórmula genérica en la política de privacidad; requiere un análisis documentado que demuestre que la ponderación entre el interés del responsable y los derechos del interesado se realizó correctamente.
El considerando 47 del RGPD y las Directrices 1/2024 del CEPD (que actualizan el Dictamen 06/2014 del GT29) articulan esta ponderación en tres pasos sucesivos, todos ellos obligatorios:
Paso 1 — Prueba del interés legítimo: ¿existe un interés real y legítimo?
El interés debe ser real (no especulativo), presente (no futuro o hipotético) y legítimo (conforme al ordenamiento jurídico y a los valores del RGPD). Ejemplos reconocidos por la AEPD y el CEPD: prevención del fraude, seguridad de redes e información, mercadotecnia directa a clientes existentes con productos similares, videovigilancia para protección de instalaciones, comunicación de datos dentro de un grupo empresarial con fines administrativos internos.
Paso 2 — Prueba de necesidad: ¿el tratamiento es necesario para ese interés?
El tratamiento solo es lícito si es necesario para alcanzar el interés legítimo identificado. Esto implica verificar que no existe una forma alternativa, igualmente efectiva, que sea menos intrusiva para los derechos del interesado. Si el mismo objetivo puede lograrse con datos anonimizados o seudonimizados, o con un conjunto de datos más reducido, la base de interés legítimo no resiste este paso.
Paso 3 — Prueba de ponderación: ¿el interés legítimo prevalece sobre los derechos del interesado?
Este es el análisis central. El responsable debe sopesar su interés legítimo frente a los intereses, derechos y libertades fundamentales del interesado, teniendo en cuenta:
- La naturaleza de los datos (especialmente si son categorías especiales).
- Las expectativas razonables del interesado en el contexto de la relación (un cliente espera comunicaciones sobre sus compras, no sobre sus hábitos de navegación en otras webs).
- El impacto potencial del tratamiento (alcance, gravedad de los perjuicios posibles).
- Las salvaguardias aplicadas (cifrado, seudonimización, limitación de accesos, plazos de supresión).
- La posibilidad de ejercer el derecho de oposición de forma efectiva.
Si el resultado del análisis es que los derechos del interesado prevalecen, el tratamiento no puede fundamentarse en el interés legítimo. La organización deberá buscar otra base jurídica —normalmente el consentimiento— o prescindir del tratamiento.
Desde Summum Consultoría acompañamos a las organizaciones en la adecuación al RGPD, incluyendo la redacción documentada del test de interés legítimo para cada tratamiento que lo requiera.
Consentimiento vs. interés legítimo: cuándo optar por cada uno
La confusión más habitual en la práctica es la que enfrenta el consentimiento (base a) con el interés legítimo (base f). La siguiente guía orientativa ayuda a elegir:
- Usa el consentimiento cuando el tratamiento no es necesario para la relación contractual, no está impuesto por ley, no puede justificarse por interés legítimo (porque el impacto sobre el interesado es elevado o sus expectativas razonables van en contra del tratamiento) y el interesado puede decidir libremente sin consecuencias negativas sobre el servicio que recibe. Ejemplo: enviar una newsletter a un visitante que no es cliente.
- Usa el interés legítimo cuando exista un interés real y proporcionado, el tratamiento sea necesario, el interesado pueda razonablemente esperar ese tratamiento en el contexto de la relación, y el impacto sobre sus derechos sea limitado o esté compensado por salvaguardias adecuadas. Ejemplo: comunicar a los clientes actuales novedades de productos del mismo tipo que los ya adquiridos (con la posibilidad de oposición activa).
Un error común es creer que el interés legítimo es más «cómodo» porque evita recabar el consentimiento. En realidad, el interés legítimo exige mayor trabajo de documentación y es más vulnerable a impugnaciones si no está debidamente fundamentado. El consentimiento bien gestionado, en los supuestos que le corresponden, es una base sólida y transparente.
Ejemplos de base jurídica por tipo de tratamiento
La siguiente relación ilustra cómo aplicar el artículo 6.1 del RGPD a tratamientos habituales en una pyme o empresa mediana:
- Gestión de nóminas y relación laboral: bases b) (contrato de trabajo) y c) (obligaciones laborales y de Seguridad Social). No se requiere consentimiento.
- Facturación y contabilidad: bases b) y c) (obligaciones fiscales). No se requiere consentimiento.
- Atención al cliente sobre incidencias del servicio contratado: base b). No se requiere consentimiento.
- Videovigilancia de instalaciones propias: base f) (interés legítimo en la seguridad de las instalaciones y el personal), siempre que se supere el test de ponderación. Requiere señalización adecuada.
- Envío de newsletter a suscriptores que no son clientes: base a) (consentimiento). Requiere opt-in activo y mecanismo de baja inmediato.
- Marketing directo a clientes actuales sobre productos similares: base f) (interés legítimo), conforme al considerando 47 del RGPD y la LOPDGDD. Requiere ofrecer el derecho de oposición en cada comunicación.
- Elaboración de perfiles de comportamiento con fines publicitarios: base a) (consentimiento), dada la elevada expectativa de privacidad y el impacto significativo sobre los interesados.
- Prevención del fraude interno: base f) (interés legítimo), con salvaguardias proporcionales y limitación de acceso a los datos.
- Comunicación de datos de trabajadores a mutuas o INSS: base c) (obligación legal en materia de Seguridad Social y prevención de riesgos laborales).
Cómo documentar la base jurídica: el registro de actividades de tratamiento
El artículo 30 del RGPD obliga a los responsables del tratamiento a mantener un registro de actividades de tratamiento (RAT). Entre los datos que debe incluir figura, de manera expresa, la base jurídica de cada tratamiento (art. 30.1.b) RGPD). Este registro es el documento que la AEPD solicita en primer lugar cuando inicia una inspección o una actuación de investigación.
Para los tratamientos basados en el interés legítimo, el RAT debe ir acompañado del análisis de ponderación documentado, a fin de acreditar que se realizó antes de iniciar el tratamiento y no a posteriori como justificación reactiva. La documentación previa es, en la práctica, la única que demuestra diligencia proactiva.
Si tu organización no tiene actualizado el registro de actividades de tratamiento o no ha documentado la base jurídica de cada tratamiento, el servicio de adecuación al RGPD de Summum Consultoría ofrece acompañamiento completo para empresas de Castilla y León y Canarias: desde el mapeo de tratamientos hasta la redacción del RAT y los test de ponderación.
Preguntas frecuentes
¿Puedo cambiar la base jurídica de un tratamiento que ya está en marcha?
En principio, no es posible cambiar la base jurídica de forma retroactiva y sin informar a los interesados. El cambio de base debe estar justificado, ser compatible con la finalidad original del tratamiento (art. 6.4 RGPD) e ir acompañado de una actualización de la información facilitada a los interesados. Si el cambio implica una finalidad incompatible con la original, se requiere el consentimiento del interesado o que exista una habilitación normativa expresa. La AEPD ha sancionado a empresas que cambiaron de base jurídica de manera opaca o sin informar adecuadamente.
¿El interés legítimo puede usarse para cualquier tratamiento comercial?
No. El interés legítimo requiere superar los tres pasos del test de ponderación. En materia de mercadotecnia, el considerando 47 del RGPD reconoce expresamente la posibilidad de invocar el interés legítimo para comunicaciones comerciales a clientes actuales sobre productos o servicios propios similares. Pero no ampara, sin más, el envío masivo de publicidad a bases de datos adquiridas a terceros, la elaboración de perfiles de comportamiento a gran escala o la cesión de datos a terceros para sus propios fines comerciales.
¿Qué pasa si indico en mi política de privacidad una base jurídica incorrecta?
La información facilitada a los interesados sobre la base jurídica es un requisito del artículo 13 del RGPD. Indicar una base errónea constituye un incumplimiento del deber de transparencia, que puede ser sancionado en el marco del artículo 83.5 del RGPD, con multas de hasta 20.000.000 EUR o el 4 % del volumen de negocio anual mundial. Más allá de la sanción, si la base indicada no es la real, el tratamiento podría considerarse ilícito en su conjunto. Revisar periódicamente la correspondencia entre los tratamientos reales y la base jurídica declarada forma parte de cualquier programa serio de cumplimiento del RGPD.
¿El consentimiento de los empleados puede ser una base válida para tratar sus datos?
Con carácter general, no. El CEPD y la AEPD han señalado reiteradamente que el consentimiento de los empleados rara vez cumple el requisito de libertad, dado el desequilibrio de poder inherente a la relación laboral. Un empleado que teme represalias al negarse a otorgar su consentimiento no lo presta libremente. Por ello, los tratamientos de datos de trabajadores deben ampararse, según el caso, en las bases b) (contrato de trabajo), c) (obligaciones legales laborales y de Seguridad Social) o f) (interés legítimo con test de ponderación). El consentimiento solo es válido en supuestos claramente voluntarios, desvinculados de las condiciones de empleo.