GDPR Base Legal para el Procesamiento: Cuál Aplica…

Resumen

No puede procesar datos personales sin una base legal. Elegir el equivocado —o confiar en el consentimiento cuando se aplican intereses legítimos— afecta a todo su marco de protección de datos. Así es como conseguirlo bien.

Lo que el flujo de trabajo de cumplimiento necesita probar.
Que controles y compradores de pruebas deben comprobar.
Cómo HubSecure encaja sin reemplazar el consejo legal.

Escrito porHubSecure Equipo editorial

Guías prácticas para portales de clientes seguros, RBAC, incorporación y operaciones de clientes regulados.

Revisado porHubSecure Security & Compliance Review

Revisado para determinar el posicionamiento de seguridad, la precisión del flujo de trabajo y la claridad de la implementación.

Última actualizaciónMay 7, 2026

Comparado con el sitio de marketing actual HubSecure y el posicionamiento del producto.

TL;DR

El artículo 6 del RGPD enumera seis bases legales: al menos una debe aplicarse a cada actividad de procesamiento
El consentimiento no siempre es la opción más segura; para los servicios contratados, el rendimiento de los contratos es más claro
Usted debe identificar su base legal antes de comenzar a procesar — no puede cambiar retroactivamente
La base elegida afecta qué derechos individuales se aplican y cómo pueden ejercerse

Procesar datos personales sin una base legal en virtud del RGPD El artículo 6 es ilegal —paración completa. Sin embargo, muchas organizaciones o bien saltan por completo este paso, confían en el consentimiento como una base para todos, o documentan una base sin aplicarla genuinamente. Las autoridades supervisoras tratan de la documentación de base ilegal o faltante como un fallo significativo en el cumplimiento.

Las seis bases legales no son intercambiables. Cada uno lleva diferentes obligaciones y otorga a los datos derechos diferentes. Elegir la base correcta desde el principio es fundamental para todo su programa de cumplimiento del RGPD.

Relacionados HubSecure

CRM CRM guía CRM cumplimiento CRM para empresas crecientes CRM módulo HubSpot cumplimiento de la comparación CRM guía guía Guía Biblioteca reservar un flujo de trabajo

Seguridad relacionada, privacidad y recursos de gobernanza

Continuar con HubSecure centro de seguridad y confianza, acuerdo de procesamiento de datos, subprocesadores, flujos de trabajo de cumplimiento, operador de IA gobernado.

Caso de uso relacionado

Esta guía pertenece al grupo de guías de consolidación de herramientas y alternativas de espacio de trabajo. Continúe con el centro de productos para alternativas de espacio de trabajo y consolidación de herramientas.

Las seis bases legales explicadas

Article 6(1)(a)

Consentir

El individuo ha dado su consentimiento claro, específico, informado y libremente otorgado. El consentimiento debe ser tan fácil de retirar como de otorgar. No se puede combinar con otros acuerdos, ni implícitos ni marcados previamente. Utilice el consentimiento para comunicaciones de marketing, funciones de perfil opcionales o procesamiento que vaya más allá de lo que la relación requiere estrictamente.

Article 6(1)(b)

Ejecución del contrato

El procesamiento es necesario para ejecutar un contrato con el individuo o para tomar medidas a petición de este antes de celebrar un contrato. Esta es la base principal para procesar datos de clientes en servicios profesionales: usted conserva los datos de contacto de un cliente, la información KYC y los datos del asunto porque los necesita para poder brindar sus servicios. No utilice el consentimiento para los datos que cubre la ejecución del contrato.

Article 6(1)(c)

Obligación legal

El procesamiento es necesario para cumplir con una obligación legal en virtud de la legislación de la UE o del Estado miembro. AML/KYC screening, mandatory reporting obligations, and employment law requirements fall here. Esta base no se extiende a las obligaciones contractuales, sino que están comprendidas en el apartado b) del párrafo 1 del artículo 6.

Article 6(1)(d)

Intereses vitales

Procesar es necesario para proteger la vida de alguien. Esta es una base estrecha, aplicable principalmente en situaciones de emergencia genuinas. Es rara vez la base correcta para el procesamiento de datos de negocios.

Article 6(1)(e)

Tareas públicas

El procesamiento es necesario para una tarea realizada en interés público o en el ejercicio de la autoridad oficial. This applies primarily to public authorities, regulators, and bodies exercising delegated public functions. La mayoría de las empresas privadas reguladas no utilizarán esta base.

Article 6(1)(f)

Intereses legítimos

El procesamiento es necesario para los intereses legítimos del controlador o de un tercero, a menos que se vean anulados por los intereses o derechos fundamentales del interesado. Esto requiere una evaluación de intereses legítimos de tres partes (LIA): identificar el interés legítimo; mostrar el procesamiento es necesario; equilibrarlo contra los intereses del individuo. Es bueno para la prevención del fraude, la seguridad de la red, el análisis interno y la comercialización de B2B a los clientes existentes.

La base legal afecta los derechos de los datos sujetos

Su base elegida determina directamente qué sujetos de derechos pueden ejercer:

Consentirimiento: las personas pueden retirar el consentimiento en cualquier momento, desencadenando un derecho a la eliminación en la mayoría de los casos
Ejecución del contrato: el derecho al objeto no se aplica; pero los datos deben eliminarse cuando el contrato termina y el período de retención expira
Obligación jurídica: ningún derecho a la erradicación; los datos deben mantenerse para satisfacer la obligación
Los intereses legítimos: los individuos tienen un derecho absoluto a oponerse; si se oponen y no pueden anular sus intereses, debe dejar de procesar

Documentando su base legal

Su registro de actividades de procesamiento (RoPA) en virtud del artículo 30 debe documentar la base legal para cada actividad de procesamiento. Su aviso de privacidad también debe comunicar la base a los sujetos de datos. Documentarla después del hecho, o confiar en una base que no evaluaron realmente en ese momento, no es compatible.

¿Podemos cambiar de una base legal a otra?

En la mayoría de los casos, no. La orientación ICO y EDPB es clara: no puede cambiar las bases para evitar una obligación que ha surgido (por ejemplo, cambiar del consentimiento a intereses legítimos después de que la gente retire el consentimiento). Usted debe identificar y documentar la base correcta antes de comenzar el procesamiento.

¿Necesitamos consentimiento para los datos del cliente si tenemos un contrato?

No. Si usted tiene datos del cliente para realizar un contrato o una obligación legal, el consentimiento no es la base apropiada — y el uso de él crea obligaciones (distribución fácil, derecho a borrar) que usted no necesita si la base correcta es el cumplimiento del contrato o obligación legal.

Documente sus bases legítimas correctamente

El espacio de trabajo de cumplimiento de HubSecure incluye plantillas para Registros de Actividades de Procesamiento y avisos de privacidad, premapados a su industria y jurisdicción.

Reserva una demostración

Fuentes oficiales y lectura ulterior

Utilice estas fuentes públicas para verificar el fondo regulatorio y la terminología. HubSecure El contenido es la orientación del producto, no el asesoramiento legal.

Notas de credibilidad

Esta guía está escrita para la evaluación de productos y operaciones, no como asesoramiento legal. Para las obligaciones de cumplimiento, confirme los requisitos con un abogado calificado o el regulador pertinente.

Relacionados HubSecure referencias: Seguridad · DPA · Subprocesadores · Glosario AML/KYC · Glosario RBAC

Revisión de los equipos regulados

Preparado por el equipo editorial HubSecure para operadores, líderes de cumplimiento y revisores de TI que evalúan software seguro de operaciones cliente.

Autores · Revisores · Política editorial