Ir al contenido

Bases legitimadoras del RGPD

Autor
Usercentrics
Tiempo de lectura
6 mins
Publicado
Feb 11, 2026
Recursos / Blog / Bases legitimadoras del RGPD
Resumen

¿Qué son las bases legitimadoras del RGPD?

Las bases legitimadoras del RGPD son los fundamentos legales que permiten a una empresa tratar datos personales de forma lícita. El Reglamento General de Protección de Datos establece que ningún tratamiento puede realizarse sin una base legal válida, y define seis situaciones concretas en las que está permitido.

Es fundamental identificarlas correctamente en cada caso para cumplir el RGPD, evitar sanciones y ofrecer a los usuarios una gestión transparente de sus datos.

Las 6 bases legitimadoras de protección de datos

El Reglamento General de Protección de Datos (RGPD) establece que todo tratamiento de datos personales debe apoyarse en al menos una base jurídica válida. Estas bases se recogen en el artículo 6 del reglamento, y determinan cuándo una empresa puede tratar datos de forma lícita.

Consentimiento
Icono de un apretón de manos
Consentimiento
Ejecución de un contrato
Icono de un contrato
Ejecución de un contrato
Cumplimiento de una obligación legal
Icono de un mazo de la justicia
Cumplimiento de una obligación legal
Protección de intereses vitales
Icono de un corazón y el pulso
Protección de intereses vitales
Misión realizada en interés público o ejercicio de poderes públicos
Icono de un edificio público
Misión realizada en interés público o ejercicio de poderes públicos
Interés legítimo del responsable del tratamiento o de un tercero
Icono de una balanza de la justicia
Interés legítimo del responsable del tratamiento o de un tercero

Consentimiento explícito del interesado

«El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos».

Por ejemplo, un usuario marca voluntariamente una casilla para recibir newsletters, o acepta cookies de personalización tras ver un banner.

Importante: debe poder revocarse en cualquier momento, y nunca puede deducirse por inacción o casillas premarcadas.

Ejecución de un contrato

«El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales».

Por ejemplo, una tienda online que trata datos personales para procesar pedidos, emitir facturas o gestionar devoluciones.

Importante: si el tratamiento excede lo estrictamente necesario para el contrato, puede requerir una base adicional (como el consentimiento).

Cumplimiento de una obligación legal

«El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento».

Esta base se aplica cuando una normativa impone a la empresa la obligación de tratar ciertos datos personales.

Por ejemplo, para la conservación de datos fiscales durante los plazos establecidos por la legislación tributaria o presentación de nóminas a la Seguridad Social.

Importante: el tratamiento debe estar claramente establecido en una ley o reglamento aplicable.

Protección de intereses vitales

«El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física».

Esta base jurídica permite tratar datos cuando sea necesario para proteger intereses vitales del interesado o de otra persona, especialmente en situaciones de emergencia.

Pongamos el caso de una asistencia médica urgente que requiere tratar datos de salud sin que el paciente pueda dar su consentimiento.

Importante: se aplica únicamente en casos excepcionales y no puede utilizarse como base general en contextos comerciales o administrativos.

Misión realizada en interés público o ejercicio de poderes públicos

«El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento».

Permite el tratamiento cuando este sea necesario para cumplir una tarea realizada en interés público o en el ejercicio de funciones oficiales conferidas al responsable del tratamiento.

Ejemplo práctico: tratamiento de datos por parte de un ayuntamiento para gestionar servicios públicos como el padrón municipal o ayudas sociales.

Importante: esta base debe estar sustentada en una norma con rango legal que delimite la misión pública concreta.

Interés legítimo del responsable del tratamiento o de un tercero

«El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño».

Ejemplo práctico: análisis de comportamiento en un sitio web para mejorar la experiencia del usuario, o envío de comunicaciones a clientes existentes sobre productos similares.

Importante: exige realizar un test de interés legítimo, documentarlo y ofrecer al usuario una información clara y accesible sobre este tratamiento.

Cómo aplicar las bases legitimadoras

Antes de decidir qué base legal aplicar, es imprescindible tener claro qué datos se van a tratar, para qué finalidad y quiénes serán los destinatarios. No es lo mismo enviar una newsletter, que gestionar una compra o conservar datos fiscales.

Cada tipo de tratamiento debe quedar vinculado a una única base legal principal, aunque en casos complejos puede haber tratamientos simultáneos con diferentes bases (por ejemplo, facturación por obligación legal y envío de promociones por consentimiento).

El RGPD exige que las organizaciones puedan demostrar en todo momento que sus tratamientos tienen una base legal válida. Para ello, es necesario registrar:

  • Finalidad del tratamiento
  • Base jurídica seleccionada
  • Justificación del encaje normativo
  • Duración prevista del tratamiento
  • Evaluación de riesgos o test de interés legítimo (si procede)

Es aconsejable utilizar una herramienta de gestión de cumplimiento como una CMP (Consent Management Platform) que registre las decisiones del usuario y la base legal asociada a cada tratamiento.

Evita riesgos legales innecesarios

Configura un banner de consentimiento en tu sitio web como exige la normativa de protección de datos.

Solicita una demo con Usercentrics

Para terminar, recuerda que una base legal válida hoy podría no serlo mañana si cambian la finalidad, el contexto del tratamiento o la legislación aplicable. Por ello deberás revisar y actualizar las bases legitimadoras de forma periódica, especialmente en nuevos proyectos, fusiones, cambios de proveedores o revisiones legales internas.

El consentimiento explícito es la base más habitual para tratar datos sensibles. Debe ser libre, informado y verificable, y otorgarse mediante una acción afirmativa clara. 

Las bases legitimadoras son especialmente importantes cuando se trata de datos sensibles. Por ejemplo, una clínica estética solicita al paciente autorización expresa para almacenar fotografías de un tratamiento antes y después, destinadas a su historial médico o a comunicación comercial.

Cumplir con las bases legitimadoras del RGPD no es una cuestión opcional. Es una obligación legal que afecta a cualquier empresa, pyme u organización que trate datos personales dentro de la Unión Europea o de ciudadanos europeos. Identificar correctamente la base jurídica en cada tratamiento es lo que permite demostrar que los datos se están utilizando de forma lícita, transparente y proporcional.

Cuando una empresa no documenta adecuadamente su base legal o utiliza una incorrecta (por ejemplo, trata datos sensibles sin consentimiento válido o sin base legal sólida), se expone a sanciones por parte de las autoridades de control.

El incumplimiento del artículo 6 del RGPD puede derivar en multas administrativas que pueden alcanzar hasta 20 millones de euros o el 4% del volumen de negocio anual global, según el artículo 83 del RGPD.

Además, también puede conllevar otras consecuencias:

  • Prohibición temporal o definitiva del tratamiento de datos
  • Daños reputacionales que afectan a la confianza de los clientes, inversores y socios
  • Reclamaciones judiciales por parte de los usuarios afectados

La Agencia Española de Protección de Datos (AEPD) ha sancionado en múltiples ocasiones a empresas que trataban datos sin haber identificado correctamente la base legal, o que utilizaban el consentimiento de forma indebida (por ejemplo, con casillas premarcadas o sin posibilidad real de rechazar).

En este contexto, el responsable del tratamiento desempeña un papel clave, ya que es la figura encargada de determinar los fines y medios del tratamiento de los datos personales, así como de garantizar que dicho tratamiento cumpla con el RGPD.

Entre sus funciones se encuentran la gestión de las solicitudes de los interesados, la supervisión del uso adecuado de las bases jurídicas, la coordinación con encargados del tratamiento y la atención de cualquier cuestión relacionada con la privacidad dentro de la empresa. Por ello, resulta fundamental que esta figura esté claramente identificada y cuente con los recursos necesarios para desempeñar su función de forma eficaz.

Para profundizar en esta responsabilidad y entender mejor las diferencias entre las distintas figuras que intervienen en el tratamiento de datos, puede consultarse la guía sobre responsable y encargado del tratamiento de datos.

¿Puede tu empresa verificar que cumple el RGPD?

Comprueba en qué medida estás cumpliendo la normativa de protección de datos y evita multas con Usercentrics CMP.

Probar Usercentrics Web CMP

Descargo de responsabilidad: Usercentrics no provee asesoría legal y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.

No te pierdas nada

Si también te interesa la privacidad de datos, únete ahora a nuestra creciente comunidad. Suscríbete a la newsletter de Usercentrics y recibe las últimas novedades directamente en tu bandeja de entrada.

Preguntas frecuentes

Tratar datos personales sin una base legal válida constituye una infracción grave del RGPD. Esto puede derivar en sanciones por parte de la Agencia Española de Protección de Datos (AEPD), incluyendo multas económicas elevadas y daños reputacionales. Además, si un usuario impugna el tratamiento, la empresa deberá demostrar la base jurídica utilizada para ese tratamiento.

Cada tratamiento de datos debe estar reflejado en un registro de actividades de tratamiento (obligatorio para muchas empresas según el artículo 30 del RGPD). En dicho registro debe indicarse:

  • Qué datos se tratan
  • Para qué finalidad
  • Qué base legal lo justifica
  • Si hay cesión a terceros
  • Y durante cuánto tiempo se conservan 

También es fundamental reflejar esta base en la política de privacidad, de forma clara para el usuario.

No se deben mezclar bases legales para una misma finalidad. Esto podría invalidar el consentimiento y generar ambigüedad legal.

Solo pueden combinarse cuando se aplican a finalidades distintas. Por ejemplo, puedes tratar datos para ejecutar un contrato (base contractual) y, al mismo tiempo, pedir consentimiento para enviar comunicaciones comerciales.

El RGPD define seis bases jurídicas que legitiman el tratamiento de datos personales, y en concreto señala seis supuestos:

  1. Consentimiento explícito del interesado
  2. Ejecución de un contrato
  3. Cumplimiento de una obligación legal
  4. Protección de intereses vitales
  5. Misión realizada en interés público o ejercicio de poderes públicos
  6. Interés legítimo del responsable del tratamiento o de un tercero

Cada tratamiento debe ajustarse a una de estas bases y no puede hacerse sin una justificación válida.