¿Cuáles son las bases de legitimación para el tratamiento de datos?

El RGPD mantiene el principio de que todo tratamiento de datos necesita apoyarse en una base que lo legitime. Hay que destacar que en ese sentido el RGPD no implica cambios para los responsables del tratamiento de datos; pues también recoge las mismas bases jurídicas que contenía la Directiva y que reproduce la LOPD:

1. Consentimiento.
2. Relación contractual.
3. Intereses vitales del interesado o de otras personas.
4. Cumplimiento de una obligación legal para el responsable.
5. Interés público o ejercicio de poderes públicos.
6. Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.

Por otra parte, aunque no se está expuesto de forma explícita, se deben documentar e identificar claramente la legitimación sobre la que se fundamentan los tratamientos, ya que se deduce de algunos artículos del RGPD y del principio general de "responsabilidad activa".

Por ejemplo: hay que incluir la base legal sobre la que se desarrolla el tratamiento al proporcionar la información en el momento de recoger los datos de los interesados, así como especificar y documentar los intereses legítimos en que se fundamentan las operaciones de tratamiento en casos como las Evaluaciones de Impacto sobre la Protección de Datos o en determinadas transferencias internacionales.

Asimismo, la identificación de la base legal es indispensable para estar en condiciones de demostrar que se cumple con las previsiones del RGPD. Esta identificación y la correspondiente documentación deben adaptarse al tipo de tratamiento y a las características de las organizaciones.