Hoy se celebra el Día de la Protección de Datos, una fecha clave para concienciar a ciudadanos, empresas y administraciones sobre la importancia de proteger la información personal en un entorno cada vez más digitalizado. La Agencia Española de Protección de Datos (AEPD) recuerda que cualquier tratamiento de datos personales debe estar amparado por una base legal clara, tal y como establece el Reglamento General de Protección de Datos (RGPD).
Existen seis bases de legitimación que permiten a las organizaciones tratar datos personales de forma lícita, según el RGPD. La más conocida es el consentimiento del interesado, pero no es la única. El tratamiento también puede basarse en la ejecución de un contrato, cuando los datos son necesarios para prestar un servicio o cumplir un acuerdo, en el cumplimiento de una obligación legal impuesta al responsable del tratamiento, o en la protección de los intereses vitales del propio interesado o de terceras personas, especialmente en situaciones de emergencia. Asimismo, el RGPD contempla el tratamiento de datos cuando este sea necesario por razones de interés público o en el ejercicio de poderes públicos, así como cuando concurran intereses legítimos del responsable o de terceros, siempre que estos no prevalezcan sobre los derechos y libertades fundamentales de las personas.
La Agencia Española de Protección de Datos recuerda que la elección de la base legal no es una cuestión meramente formal, sino un elemento esencial para garantizar la transparencia, la seguridad jurídica y el respeto a la privacidad de los ciudadanos.
Desde la AEPD se subraya además el principio de responsabilidad proactiva, que obliga a las organizaciones a identificar, documentar y justificar la base legal de cada tratamiento de datos. Esta información debe facilitarse de forma transparente en el momento de la recogida de los datos y reflejarse en documentos como las evaluaciones de impacto o en determinadas transferencias internacionales.
En el #DíaEuropeoProtecciónDatos, recuerda que solo tú decides quién accede a tu información personal 🛡️💻
Para que tu permiso valga, tienes que darlo de forma clara ⬇️
✅ Marcando tú mismo la casilla o con un "sí" por escrito. 📝
— Guardia Civil (@guardiacivil) January 28, 2026
❌ No valen las casillas que ya vienen… pic.twitter.com/IEYP4KwvsE
El consentimiento: datos transparentes y seguros
Uno de los pilares fundamentales es el consentimiento, que debe ser inequívoco, libre, informado y revocable. La normativa europea deja atrás el consentimiento tácito y exige una acción afirmativa clara por parte del interesado, como marcar voluntariamente una casilla o firmar una declaración expresa. No son válidas prácticas como las casillas premarcadas o el silencio del usuario.
Asimismo, el responsable del tratamiento debe ser capaz de demostrar en todo momento que ha obtenido correctamente dicho consentimiento y utilizar un lenguaje claro y sencillo, diferenciando la información sobre protección de datos del resto de contenidos. En los casos en los que se solicite consentimiento para varias finalidades, estas deberán agruparse solo cuando estén relacionadas y separarse cuando impliquen tratamientos distintos.
La AEPD recuerda también que existen situaciones en las que el consentimiento debe ser explícito, como en el tratamiento de datos sensibles, la adopción de decisiones automatizadas o las transferencias internacionales de datos.
En este Día de la Protección de Datos, la Agencia insiste en la necesidad de reforzar la cultura de la privacidad y de garantizar que los derechos de las personas estén en el centro de cualquier tratamiento de información personal.