El Reglamento General de Protección de Datos, en adelante RGPD, establece un sistema de legitimación compuesto por seis bases jurídicas, de modo que el tratamiento de datos ya no se basa en el consentimiento del interesado y excepciones al mismo, sino que ha de basarse en uno de los seis supuestos que el RGPD establece. Dichas bases de legitimación no son intercambiables ni hay ninguna jerarquía entre ellas.

Además, la base jurídica de legitimación del tratamiento se incorpora al contenido obligatorio del deber de información (artículo 13.1c) RGPD), por lo que el Responsable del tratamiento deberá facilitar dicha información al interesado, en el momento en que se obtengan los datos personales.

Analizaremos a continuación los diferentes supuestos que conforman el sistema de legitimación diseñado por el RGPD, diferentes al consentimiento del interesado:

• Legitimación para la ejecución de un contrato: el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales.
• Legitimación derivada del cumplimiento de una obligación legal: deberá incluirse la referencia a la concreta norma que establece esta obligación al Responsable del tratamiento.
• Legitimaciónpara el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
• Legitimación para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero; el interés legítimo podrá constituir la base jurídica para el tratamiento “siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable” (Considerando 47 del RGPD). En cualquier caso, el interés legítimo siempre requerirá de una “evaluación meticulosa” (Considerando 47 del RGPD), que incluya la determinación, necesidad y justificación del interés legítimo, así como todo un análisis de la ponderación de dicho interés y los derechos y libertades del interesado y las medidas adoptadas para garantizar el equilibrio de los intereses en juego.
• Legitimación para proteger intereses vitales del interesado o de otra persona física; se trata de un supuesto excepcional derivado de las propias circunstancias que harían posible esta causa de legitimación.

En conclusión, recordar la importancia de la correcta determinación de la base jurídica que legitime el tratamiento de datos, ya que, además de formar parte del contenido del deber de información junto a la finalidad del tratamiento, en aplicación del Principio de responsabilidad proactiva, el Responsable deberá poder demostrar la adecuación de la base jurídica utilizada a las exigencias del RGPD.

El equipo de profesionales de Govertis