Base jurídica

Para dar cumplimiento al principio de licitud, el responsable del tratamiento debe tratar los datos de acuerdo con alguno de los fundamentos regulados en el artículo 6 del RGPD. En concreto:

1. Que disponga del consentimiento de la persona afectada para una o varias finalidades específicas.
2. Que sea necesario para ejecutar un contrato en que el interesado es parte, o para aplicar medidas precontractuales a petición del interesado.
3. Que sea necesario para cumplir una obligación legal del responsable del tratamiento.
4. Que sea necesario para proteger intereses vitales del interesado o de otra persona física.
5. Que sea necesario para cumplir una misión realizada en interés público o en el ejercicio de poderes públicos otorgados al responsable del tratamiento.
6. Que sea necesario para satisfacer intereses legítimos perseguidos por el responsable del tratamiento o por uno tercero, siempre que no prevalezcan intereses o derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un menor.

En el caso de tratamientos necesarios para el cumplimiento de una obligación legal (letra c) o de una misión realizada en interés público o en el ejercicio de poderes públicos (letra e), la base del tratamiento tiene que estar prevista por el derecho de la Unión o por el derecho del estado miembro, que en nuestro caso tiene que ser una norma con rango de ley.

El interés legítimo no se aplica a los tratamientos efectuados por las autoridades públicas en el ejercicio de sus funciones.

El tratamiento de categorías especiales de datos personales (artículo 9 RGPD) está permitido cuando:

1. El tratamiento se efectúa con el consentimiento explícito del interesado, a no ser que el derecho de la Unión o del estado miembro no lo permita.
2. El tratamiento es necesario para cumplir obligaciones o ejercer derechos en el ámbito laboral, si así lo autoriza el derecho de la Unión o del estado miembro.
3. El tratamiento es necesario para proteger intereses vitales del interesado o de uno tercero, si no tiene capacidad para consentir.
4. El tratamiento se efectúa en el ámbito de las actividades legítimas de una entidad sin ánimo de lucro con finalidad política, filosófica, religiosa o sindical y se refiere a los miembros actuales o antiguos de la entidad.
5. El tratamiento se refiere a datos que el interesado ha hecho manifiestamente públicos.
6. El tratamiento es necesario para formular, ejercer o defender reclamaciones o cuando los tribunales actúan en el ejercicio de su función judicial.
7. El tratamiento es necesario por razones de interés púbico esencial.
8. El tratamiento es necesario para finalidades de medicina preventiva y del trabajo, diagnóstico médico y prestación y gestión de asistencia sanitaria, siempre que el tratamiento lo haga un profesional sanitario sujeto a secreto profesional u otra persona sujeta al deber de confidencialidad.
9. El tratamiento es necesario por razones de salud pública.
10. El tratamiento es necesario para finalidades de archivo en interés público, de investigación científica o histórica o finalidades estadísticas.

Los datos personales relativos a condenas e infracciones penales sólo se pueden tratar bajo la supervisión de las autoridades públicas o cuando lo autoriza el derecho de la Unión o del estado miembro, que debe establecer garantías adecuadas para los derechos y libertades de los interesados (artículo 10 RGPD).