August 16, 2025
3 min read
Ai sensi dell'articolo 6 del Regolamento generale sulla protezione dei dati (GDPR), “l'interesse legittimo” è stabilito come una delle sei basi giuridiche per il trattamento dei dati personali. Il concetto consente il trattamento laddove il titolare del trattamento abbia un motivo valido, a condizione che siano soddisfatte specifiche condizioni. La Corte di giustizia dell'Unione europea (CGUE) nella Causa C-13/16 ha stabilito tre requisiti cumulativi:
L'interesse deve essere legittimo:
L'interesse del titolare del trattamento deve essere lecito, chiaramente articolato e non contrario alla legge o all'ordine pubblico. Ad esempio, il Considerando 47 del GDPR riconosce che “il trattamento dei dati personali per finalità di marketing diretto può essere considerato come effettuato per un legittimo interesse” (GDPR, Considerando 47).
Necessità del trattamento dei dati:
Il trattamento deve essere strettamente necessario per il legittimo interesse dichiarato; non devono essere disponibili mezzi alternativi meno intrusivi per i diritti dell'interessato. Se l'obiettivo può essere raggiunto senza trattare dati personali, non è possibile fare affidamento sul legittimo interesse.
Test di bilanciamento:
L'interesse del titolare del trattamento non deve prevalere sui diritti e sulle libertà fondamentali dell'interessato. Questo test di bilanciamento richiede la valutazione di:
Diversi studi evidenziano che “il test di bilanciamento rimane un esercizio soggettivo, creando incertezza per i titolari del trattamento” (Voigt & von dem Bussche, 2017, p. 55). In particolare, il marketing diretto è esplicitamente citato come potenziale interesse legittimo, ma ciò non esonera i titolari del trattamento dall'effettuare il test di bilanciamento o dal fornire trasparenza agli interessati.
La ricerca osserva inoltre che “il legittimo interesse è spesso invocato in contesti in cui il consenso sarebbe impraticabile, ma i titolari del trattamento devono documentare adeguatamente la loro valutazione e garantire una revisione continua” (Kamarinou, Millard & Singh, 2016). Le linee guida del Gruppo di lavoro Articolo 29 (WP29) sottolineano che l'uso del legittimo interesse non è una giustificazione generica e deve sempre essere considerato nel quadro più ampio della responsabilizzazione del GDPR (Parere 06/2014 del WP29).
In sintesi, il legittimo interesse ai sensi del GDPR fornisce una base flessibile per il trattamento dei dati, ma richiede ai titolari del trattamento di dimostrare necessità e proporzionalità, e di rispettare i diritti degli interessati attraverso solide misure di bilanciamento e trasparenza.
