Protección de Datos: Aclarando conceptos” Entrada 1 — Consentimiento, interés legítimo y contrato: cómo elegir la base jurídica correcta

 

“Protección de Datos: Aclarando conceptos”

Entrada 1 — Consentimiento, interés legítimo y contrato: cómo elegir la base jurídica correcta

1. Por qué este concepto necesita aclararse

Si hay un error universal en protección de datos es este: creer que todo se basa en pedir consentimiento.

Muchas organizaciones lo utilizan como comodín, incluso cuando:

• no es necesario,
• no es válido,
• o directamente es inaplicable.

El RGPD no funciona así. La base jurídica es la columna vertebral del tratamiento, y elegirla mal implica:

• tratamientos inválidos,
• riesgos jurídicos innecesarios,
• obligaciones mal aplicadas,
• y una pérdida de confianza del usuario.

Esta entrada explica cómo elegir la base jurídica correcta y por qué el consentimiento es solo una de las opciones, no la regla general.

2. Las seis bases jurídicas del RGPD (y por qué no son intercambiables)

El RGPD establece seis bases jurídicas. Las tres más utilizadas —y más confundidas— son:

1) Consentimiento

Válido solo cuando es:

• libre,
• informado,
• específico,
• inequívoco,
• y revocable.

No sirve cuando existe desequilibrio entre las partes (empleados, alumnos, pacientes). No sirve cuando el tratamiento es necesario para un servicio. No sirve cuando la empresa no puede asumir la revocación.

2) Ejecución de un contrato

Aplica cuando el tratamiento es estrictamente necesario para:

• prestar un servicio,
• ejecutar un contrato,
• o tomar medidas precontractuales.

No cubre tratamientos accesorios, analíticos o comerciales.

3) Interés legítimo

Es la base más potente y la más mal entendida. Permite tratar datos cuando:

• existe un interés real del responsable,
• el impacto sobre el interesado es limitado,
• y se realiza una ponderación documentada.

No sirve para todo. No sirve para tratamientos intrusivos. No sirve sin análisis previo.

3. El error más común: usar consentimiento cuando no corresponde

Ejemplos típicos:

• pedir consentimiento a empleados para gestionar nóminas,
• pedir consentimiento a clientes para ejecutar un contrato,
• pedir consentimiento para analítica interna necesaria para el servicio,
• pedir consentimiento para comunicaciones que podrían basarse en interés legítimo.

El resultado es un tratamiento jurídicamente débil, porque:

• el consentimiento puede revocarse,
• la empresa queda expuesta,
• y se genera inseguridad operativa.

4. Cómo elegir correctamente la base jurídica (modelo práctico)

Paso 1 — Pregunta clave

¿Es el tratamiento necesario para prestar el servicio o ejecutar el contrato? → Si la respuesta es sí, la base jurídica es contractual.

Paso 2 — Segunda pregunta

¿El tratamiento responde a un interés legítimo del responsable y tiene un impacto limitado? → Si es así, puede aplicarse interés legítimo (con ponderación).

Paso 3 — Solo si ninguna de las anteriores aplica

→ Consentimiento.

El consentimiento es la última opción, no la primera.

5. Señales de que una empresa está eligiendo mal la base jurídica

• Formularios llenos de casillas de consentimiento innecesarias.
• Políticas que mezclan bases jurídicas sin criterio.
• Tratamientos esenciales basados en consentimiento.
• Ponderaciones inexistentes o genéricas.
• Revocaciones que paralizan procesos internos.

6. Cierre: hacia la Entrada 2

La base jurídica es el primer pilar del cumplimiento. La siguiente entrada abordará otro concepto que genera confusión constante:

Responsable, encargado y corresponsable: quién decide qué, quién ejecuta qué y quién responde de qué.