El primer requisito para que un tratamiento de datos personales sea lícito es que cuente con una base legitimadora. Debe poder sustentarse en alguna de las seis bases habilitantes establecidas con carácter tasado en el artículo 6.1 RGPD, cuyo tenor es el siguiente:

1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

⇒ En consecuencia, lo primero que hay que hacer, antes de comenzar a tratar datos personales, es identificar la base legitimadora porque, de no existir, el tratamiento es ilícito con independencia de que observen las demás exigencias normativas.

• La mayoría de los tratamientos que se realizan en la UCM se sustentan en las bases de las letras c) y e). O bien son necesarios para el cumplimiento de una obligación legal, o son necesarios para el cumplimiento de una misión realizada en interés público o en el ejercicio de los poderes públicos conferidos a la UCM. Pero cuando se utilicen estas bases es necesario tener presente que hay que identificar siempre cuáles son las normas que imponen la obligación, establecen la misión o confieren los poderes. Y también que la LOPDGDD en su artículo 8 exige que sean normas con rango de ley.
• En la UCM también se llevan a cabo muchos tratamientos de datos personales que son necesarios para la ejecución de contratos o para la aplicación de medidas contractuales que le han sido solicitadas y que, por tanto, se basan en la habilitación contenida en la letra b) del artículo 6.1 RGPD. En estos casos hay que tener presente que ésta base sólo legitima aquellos tratamientos que sean necesarios para la ejecución del contrato o de las medidas contractuales solicitadas, por lo que no se pueden amparar en ella usos que no sean necesarios para tales fines.
• Como expresamente dispone el RGPD, la base del interés legítimo reconocida en la letra f) no puede utilizarse por las administraciones públicas en el ejercicio de sus funciones. Por tanto, esta base sólo podrá ser empleada en la UCM para legitimar tratamientos que sean necesarios para satisfacer intereses legítimos perseguidos por terceros. Pero no vale cualquier interés legítimo, habrá de ser lo suficientemente relevante como para que no prevalezcan sobre él los intereses o los derechos y libertades fundamentales de las personas concernidas.  Ello implica que se deberá realizar siempre un juicio de ponderación y documentarlo para poder justificar el tratamiento.
• Excepcionalmente, se tendrán que realizar tratamientos necesarios para proteger intereses vitales del interesado o de otra persona física al amparo de lo previsto en la letra d) del artículo 6.1 RGPD.
• Cuando no quepa sustentar el tratamiento en alguna de las bases anteriores, sólo se podrá llevar a cabo si se cuenta con el consentimiento válidamente otorgado del interesado (la persona a la que conciernen los datos), debiendo siempre documentarse a efectos probatorios.