El RGPD mantiene el principio de que todo tratamiento de datos necesita apoyarse en una base que lo legitime. Hay que destacar que en ese sentido el RGPD no implica cambios para los responsables del tratamiento de datos; pues también recoge las mismas bases jurídicas que contenía la Directiva y que reproduce la LOPD:

1. Consentimiento.
2. Relación contractual.
3. Intereses vitales del interesado o de otras personas.
4. Cumplimiento de una obligación legal para el responsable.
5. Interés público o ejercicio de poderes públicos.
6. Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.

Por otra parte, aunque no se está expuesto de forma explícita, se deben documentar e identificar claramente la legitimación sobre la que se fundamentan los tratamientos, ya que se deduce de algunos artículos del RGPD y del principio general de "responsabilidad activa".

Por ejemplo: hay que incluir la base legal sobre la que se desarrolla el tratamiento al proporcionar la información en el momento de recoger los datos de los interesados, así como especificar y documentar los intereses legítimos en que se fundamentan las operaciones de tratamiento en casos como las Evaluaciones de Impacto sobre la Protección de Datos o en determinadas transferencias internacionales.

Asimismo, la identificación de la base legal es indispensable para estar en condiciones de demostrar que se cumple con las previsiones del RGPD. Esta identificación y la correspondiente documentación deben adaptarse al tipo de tratamiento y a las características de las organizaciones.

Las categorías especiales de datos son aquellas que incluyen datos que revelen el origen étnico o racial, las opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual o las orientaciones sexuales de una persona física.

La regla general contemplada en el Reglamento es la prohibición del tratamiento de categorías especiales de datos (art. 9). No obstante, se recoge un amplio abanico de excepciones a esta regla general como son las siguientes:

1. el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;
2. el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;
3. el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
4. el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;
5. el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;
6. el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
7. el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado".

Como motivos de interés público amparado en habilitaciones legales que exceptúan la prohibición, el propio RGPD recoge expresamente los siguientes supuestos:

• El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social. Sobre los tratamientos realizados con las finalidades citadas se prevé que el tratamiento se realice por un profesional sujeto a deber de secreto o bajo su responsabilidad, así como por cualquier otra persona sujeta a la obligación de secreto: -El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios.
• El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. Finalmente, se admite que los Estados miembro puedan mantener o introducir condiciones adicionales, incluidas limitaciones, sobre los tratamientos de datos genéticos, biométricos o de salud.