Protección de Datos

Bases de legitimación RGPD (art. 6): cuál elegir

Las seis bases de legitimación RGPD del art. 6: criterio de elección por escenario y el error que más multas genera en España, la legitimación mal elegida.

También disponible en:English·Français·Deutsch

En una frase. Todo tratamiento de datos personales necesita una de las seis bases de legitimación RGPD del art. 6(1): consentimiento, contrato, obligación legal, interés vital, misión de interés público o interés legítimo. Elegir la base equivocada —o no tener ninguna— es la infracción que más sanciones millonarias genera en España.

Sin una base de legitimación válida, cualquier tratamiento es ilícito por definición: incumple el principio de licitud del art. 5(1)(a) RGPD. La elección no es cosmética. Determina qué derechos puede ejercer el interesado, si puedes reutilizar los datos y cuánto riesgo asumes ante la AEPD. Las dos mayores sanciones de la historia española —CaixaBank (6 millones EUR) y BBVA (5 millones EUR)— nacieron precisamente de defectos de legitimación e información.

Puntos clave

  • El art. 6(1) RGPD fija seis bases y exige elegir una antes de iniciar el tratamiento, no a posteriori.
  • La base debe documentarse en el registro de actividades de tratamiento y comunicarse al interesado (art. 13).
  • El consentimiento no es la base por defecto: para clientes y empleados suele ser la peor opción por su revocabilidad.
  • No puedes cambiar de base a mitad de tratamiento para eludir un derecho ejercido (criterio del CEPD y del TJUE).
  • El error más sancionado en España es legitimación inexistente o mal elegida combinada con información deficiente.

Las seis bases del art. 6(1) RGPD

El art. 6(1) enumera de forma tasada las seis únicas bases posibles. No hay una séptima, ni cabe inventar justificaciones ad hoc.

Base (art. 6(1)) Cuándo aplica Riesgo típico
(a) Consentimiento El interesado acepta libre e informadamente Revocable en cualquier momento
(b) Contrato Necesario para ejecutar un contrato o medidas precontractuales Solo cubre lo estrictamente necesario
© Obligación legal Una norma UE o nacional obliga a tratar Hay que citar la norma concreta
(d) Interés vital Proteger la vida del interesado o de un tercero Uso muy excepcional
(e) Misión de interés público Ejercicio de poderes públicos Reservado a lo previsto en ley
(f) Interés legítimo Interés del responsable ponderado con los derechos del interesado Exige test de ponderación documentado

Para datos de las categorías especiales del art. 9 (salud, biometría, ideología) no basta con el art. 6: hay que sumar una excepción del art. 9(2), como explico en la guía sobre categorías especiales de datos.

Criterio de elección por escenario

La pregunta correcta no es “¿qué base me gusta más?”, sino “¿qué base describe honestamente por qué trato estos datos?”.

Clientes y prospección

Para gestionar el contrato con un cliente, la base es el art. 6(1)(b) (ejecución del contrato): facturación, envío del producto, soporte. No necesitas consentimiento para lo que el contrato exige. El error clásico es pedir consentimiento para tratar datos que ya cubre el contrato: genera un consentimiento inválido porque no es libre (no puedes decir “no” y seguir siendo cliente).

Para enviar publicidad a tus propios clientes de productos similares, el art. 21.2 LSSI admite el email marketing sin consentimiento previo, apoyado en interés legítimo, siempre con derecho de oposición en cada envío. Para prospección en frío a no clientes, necesitas consentimiento (art. 6(1)(a)); repasa los ejemplos de consentimiento válido para no repetir los errores que la AEPD sanciona.

Empleados

Aquí el consentimiento casi nunca sirve: la relación de subordinación impide que sea libre (Considerando 43 y criterio reiterado del CEPD). La nómina se apoya en el contrato (art. 6(1)(b)) y en obligaciones legales (art. 6(1)©: Estatuto de los Trabajadores, normativa de Seguridad Social). El control horario y la videovigilancia laboral se sostienen en obligación legal e interés legítimo, con los límites de los arts. 89-90 LOPDGDD que detallo en la guía sobre intimidad y vida privada de los trabajadores.

Marketing e interés legítimo

El marketing a clientes propios, la prevención del fraude y la videovigilancia de seguridad suelen apoyarse en interés legítimo (art. 6(1)(f)). Pero esta base exige el triple test de ponderación documentado; consulta la guía específica sobre el interés legítimo y su triple test. Sin ese análisis previo, la AEPD considera la base no acreditada.

Videovigilancia

La videovigilancia de seguridad se basa en interés legítimo (art. 6(1)(f)); la laboral, en la relación contractual y el art. 89 LOPDGDD. En ambos casos hace falta el cartel informativo y la conservación limitada a un mes (art. 22.3 LOPDGDD).

El error que más multas genera en España

La AEPD no sanciona por “elegir mal” en abstracto: sanciona cuando no hay base, cuando la base declarada no se corresponde con la realidad, o cuando la información al interesado contradice la base usada.

  • CaixaBank — Resolución AEPD PS/00477/2019, 6 millones EUR: información deficiente sobre las bases de legitimación y uso indebido del interés legítimo y del consentimiento en la contratación bancaria.
  • BBVA — Resolución de 2020, 5 millones EUR: cláusulas de información poco claras y bases de tratamiento no acreditadas correctamente.
  • Vodafone España8,15 millones EUR acumulados en varias resoluciones, buena parte por tratamientos de marketing sin base válida.

El patrón es siempre el mismo: la entidad declara una base en su política de privacidad, pero trata los datos con una finalidad que esa base no cubre. Encontrarás el detalle sectorial en el análisis de sanciones de la AEPD a banca y sector financiero y en el panorama general de sanciones RGPD.

Cómo documentar la base correctamente

  1. Identifica la finalidad exacta de cada tratamiento antes de elegir la base. Una finalidad, una base.
  2. Registra la base en tu registro de actividades de tratamiento, campo a campo.
  3. Informa al interesado de la base concreta en la cláusula del art. 13 (no vale “cumplimiento de la normativa”).
  4. Si usas interés legítimo, adjunta el test de ponderación.
  5. Revísalo en tu checklist de cumplimiento RGPD en España al menos una vez al año.

Mantener la coherencia entre la base declarada, la finalidad real y la información al interesado a través de decenas de tratamientos es donde fallan la mayoría de organizaciones. Plataformas como Legiscope ayudan a mapear cada finalidad con su base y a detectar incoherencias antes de que lo haga una inspección.

Véase también: minimización de datos, limitación de la finalidad y privacidad desde el diseño.

FAQ

¿Puedo cambiar de base de legitimación una vez iniciado el tratamiento?

No como maniobra para eludir un derecho. El CEPD y el TJUE han dejado claro que no puedes pasar, por ejemplo, de consentimiento a interés legítimo cuando el interesado retira su consentimiento, porque vaciaría de contenido el derecho. Solo cabe un cambio si desde el inicio la nueva base era realmente aplicable y así lo informaste.

¿El consentimiento es siempre la base más segura?

No. Es la más frágil porque es revocable en cualquier momento (art. 7.3 RGPD) y debe ser libre, específico, informado e inequívoco. Para relaciones contractuales o laborales suele ser una mala elección; el contrato o la obligación legal ofrecen una base más estable.

¿Qué pasa si trato datos sin ninguna base válida?

El tratamiento es ilícito y vulnera el art. 6 y el principio de licitud del art. 5(1)(a). Es una infracción muy grave (art. 83.5 RGPD), con multas de hasta 20 millones EUR o el 4% del volumen de negocio anual mundial, la cifra que sea mayor.

¿Dónde debo indicar la base de legitimación?

En dos sitios como mínimo: en la información al interesado del art. 13 (política de privacidad y cláusulas informativas) y en el registro de actividades de tratamiento del art. 30. Ambos deben coincidir.


Fuentes oficiales: Reglamento (UE) 2016/679 (RGPD), art. 6, Agencia Española de Protección de Datos y Comité Europeo de Protección de Datos (CEPD).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →