Il GDPR definisce le basi giuridiche che le aziende possono utilizzare per trattare i dati personali. Almeno una di queste condizioni deve essere soddisfatta, altrimenti il trattamento sarà illegale.
L'interessato acconsente al trattamento dei propri dati. Le aziende possono trattare i dati di una persona se questa persona lo consente. Il consenso è valido solo se è informato, affermativo e liberamente concesso.
Affinché il consenso sia informato, l'azienda deve spiegare chiaramente cosa raccoglie e come utilizzerà tali dati. Affinché il consenso sia affermativo, l'utente deve intraprendere azioni intenzionali per mostrare il proprio consenso, ad esempio firmando una dichiarazione o selezionando una casella. Il consenso non può essere l'opzione predefinita, quindi strategie come le caselle preselezionate violano il GDPR. Affinché il consenso sia liberamente concesso, la società non può influenzare o costringere l'interessato in alcun modo. L'azienda non può richiedere il consenso per utilizzare un servizio a meno che il trattamento non sia necessario per il funzionamento del servizio. Ad esempio, un'azienda può avere bisogno del numero di carta di credito di una persona per vendere qualcosa, ma probabilmente non avrà bisogno del suo indirizzo IP.
L'azienda non può raggruppare i consensi se i dati vengono trattati per più scopi. L'interessato deve essere in grado di accettare o rifiutare singolarmente ogni attività di trattamento. Le organizzazioni devono conservare un registro del consenso. Gli interessati possono revocare il proprio consenso in qualsiasi momento. In tal caso, l'elaborazione dovrà essere interrotta.
I dati devono essere elaborati per stipulare un contratto con l'interessato o per suo conto. Ad esempio, se una persona richiede un prestito, la banca potrebbe dover elaborare i suoi dati finanziari e la sua storia lavorativa.
Il titolare del trattamento ha l'obbligo legale di trattare i dati. Ad esempio, alcune normative sanitarie impongono agli ospedali di conservare in archivio i dati dei pazienti.
I dati devono essere trattati per proteggere gli interessi vitali dell'interessato o di un'altra persona. Questo fa riferimento a situazioni in cui i dati devono essere elaborati per salvare la vita di una persona o prevenire eventuali danni.
I dati devono essere trattati per svolgere un compito di interesse pubblico o nell'ambito dei poteri ufficiali del titolare del trattamento. Il giornalismo è un classico esempio di motivo di interesse pubblico per il trattamento dei dati personali. Le agenzie governative possono trattare i dati personali per esercitare le proprie funzioni ufficiali.
I dati devono essere trattati per perseguire un legittimo interesse del titolare del trattamento o di terzi. Un interesse legittimo è un beneficio che un'azienda può ottenere attraverso il trattamento dei dati. Alcuni esempi includono l'esecuzione di controlli sui precedenti dei dipendenti o il monitoraggio degli indirizzi IP su una rete aziendale per scopi di cybersecurity. Perché un interesse sia considerato legittimo, il trattamento deve essere necessario. Un’azienda non può far valere un interesse legittimo se riesce a portare a termine il compito senza i dati in questione. Gli interessati devono inoltre ragionevolmente aspettarsi il trattamento. Se gli interessati rimangono sorpresi da determinati trattamenti dei loro dati, è probabile che l'azienda non abbia motivi di interesse legittimo. I diritti degli interessati generalmente prevalgono sugli interessi legittimi di un'azienda.
Le organizzazioni devono stabilire e documentare le proprie basi giuridiche prima di raccogliere i dati e comunicarle agli utenti. Le aziende non possono modificare le loro basi a posteriori senza il consenso dell'interessato.