Para que un tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho.
El Reglamento General de Protección de Datos detalla cuando un tratamiento puede ser considerado lícito, estableciendo que solo lo será cuando se cumpla al menos una de las siguientes condiciones:
- El interesado dio su consentimiento libre, específico, informado e inequívoco para el tratamiento de sus datos personales para uno o varios fines específicos.
- El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
- El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
- El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.
- El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
- El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Esto no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.