Ogni trattamento di dati personali deve poggiare su una delle sei basi giuridiche dell’art. 6, par. 1 GDPR: consenso, contratto, obbligo legale, interesse vitale, compito di interesse pubblico, legittimo interesse. Scegliere quella giusta — e non cambiarla a piacimento — è la prima decisione di conformità, perché la base determina i diritti dell’interessato e i limiti del trattamento. L’errore più costoso, come mostra la casistica del Garante sul telemarketing, è usare il consenso quando la base corretta è un’altra, o viceversa. Questa guida fornisce una tabella decisionale per i casi italiani più comuni.
Key Takeaways
- L’art. 6, par. 1 GDPR elenca sei basi giuridiche: nessun trattamento è lecito senza almeno una di esse.
- La base va scelta prima del trattamento e documentata nel registro; non si può cambiarla ex post.
- Nel rapporto di lavoro il consenso non è quasi mai valido: prevalgono contratto e obbligo legale.
- Nel settore pubblico la base è il compito di interesse pubblico (art. 2-ter Codice Privacy), non il consenso.
- Il marketing richiede consenso o, in casi limitati, legittimo interesse con test di bilanciamento.
Le sei basi dell’art. 6, par. 1 GDPR
Il Regolamento le pone su un piano di parità: nessuna è “superiore” alle altre, contano solo l’idoneità al contesto.
- Consenso (lett. a): manifestazione libera, specifica, informata e inequivocabile.
- Esecuzione di un contratto (lett. b): trattamento necessario per un contratto di cui l’interessato è parte, o per misure precontrattuali.
- Obbligo legale (lett. c): il titolare deve trattare i dati per adempiere una norma (fiscale, giuslavoristica, antiriciclaggio).
- Interesse vitale (lett. d): salvaguardia della vita dell’interessato o di terzi.
- Compito di interesse pubblico (lett. e): esercizio di pubblici poteri.
- Legittimo interesse (lett. f): interesse legittimo del titolare o di terzi, salvo prevalenza dei diritti dell’interessato.
Il criterio guida è la necessità: la base regge solo se il trattamento è realmente necessario a quella finalità. Se puoi raggiungere lo scopo senza quei dati, la base non tiene.
Come scegliere: la tabella decisionale italiana
La domanda non è “posso avere il consenso?”, ma “qual è la base più appropriata a questo trattamento?”. Ecco i casi ricorrenti.
| Trattamento | Base corretta | Base sbagliata comune |
|---|---|---|
| Newsletter e marketing | Consenso (art. 6.1.a) | Legittimo interesse indiscriminato |
| Esecuzione di un ordine e-commerce | Contratto (art. 6.1.b) | Consenso |
| Buste paga e adempimenti fiscali | Obbligo legale (art. 6.1.c) | Consenso |
| Dati dei dipendenti | Contratto / obbligo legale | Consenso (quasi mai valido) |
| Trattamento da parte di un comune | Interesse pubblico (art. 2-ter) | Consenso |
| Antifrode e sicurezza informatica | Legittimo interesse (art. 6.1.f) | Consenso |
| Soft marketing B2B su clienti | Legittimo interesse (con LIA) | — |
Il consenso ha un costo nascosto: è revocabile in ogni momento (art. 7, par. 3), e alla revoca il trattamento deve cessare. Sceglierlo dove esiste una base più stabile — come il contratto — indebolisce la posizione del titolare. Per impostarlo correttamente dove serve davvero, si vedano gli esempi di consenso GDPR conformi.
Il consenso e i suoi limiti nel lavoro
Nel rapporto di lavoro il consenso è viziato in radice dallo squilibrio di potere tra datore e dipendente: l’EDPB e il Garante ritengono che difficilmente possa essere “libero”. La base corretta per la gran parte dei trattamenti HR è il contratto (gestione della prestazione) o l’obbligo legale (contributi, fisco, sicurezza sul lavoro). Il consenso resta praticabile solo per trattamenti realmente facoltativi e privi di conseguenze in caso di rifiuto — ad esempio la pubblicazione della foto sul sito aziendale. Il tema è sviluppato nella guida GDPR e risorse umane e nel modello di informativa per i dipendenti.
Legittimo interesse: quando regge
Il legittimo interesse (art. 6, par. 1, lett. f) è la base più flessibile ma anche la più delicata: richiede un test di bilanciamento in tre passaggi — idoneità, necessità, prevalenza. Il Garante lo ha accettato per finalità come antifrode, sicurezza delle reti e soft marketing verso clienti B2B; lo ha respinto per il telemarketing invasivo e la profilazione occulta. La metodologia completa è nella guida al legittimo interesse e al test di bilanciamento.
Documentare la base nel registro
La base scelta non resta un’idea: va scritta. L’art. 30 GDPR impone di indicare, per ogni trattamento, la finalità; la best practice — e la richiesta costante del Garante in sede ispettiva — è documentare anche la base giuridica nel registro dei trattamenti e replicarla nell’informativa privacy resa all’interessato.
Coerenza è la parola chiave: la stessa finalità deve avere la stessa base in registro, informativa e prassi operativa. Un disallineamento — consenso nell’informativa, legittimo interesse nel registro — è una delle contestazioni più frequenti. Tenere queste tre viste sincronizzate è una delle attività che una piattaforma come Legiscope automatizza, generando registro e informative dalla stessa mappatura.
Errori comuni nella scelta della base
Alcuni errori ricorrono nelle istruttorie del Garante e vale la pena elencarli. Il primo è il doppio ancoraggio: indicare due basi giuridiche “per sicurezza” (consenso e legittimo interesse) per lo stesso trattamento. L’EDPB lo considera scorretto perché confonde l’interessato sui suoi diritti — con il consenso può revocare, con il legittimo interesse può opporsi — e non consente di sapere quale regime si applica. Si sceglie una base sola, quella corretta.
Il secondo errore è usare il consenso come scorciatoia per trattamenti che sono in realtà necessari all’esecuzione di un contratto. Chiedere il consenso per spedire un prodotto già ordinato non solo è ridondante, ma indebolisce la posizione del titolare: se l’utente revoca, la merce andrebbe teoricamente bloccata. La base corretta è il contratto (art. 6.1.b).
Il terzo è trascurare la finalità ulteriore. Se raccogli i dati per eseguire un ordine e poi vuoi usarli per marketing, quella è una finalità nuova con una base propria (il consenso) e va comunicata separatamente. Il test di compatibilità dell’art. 6, par. 4 GDPR aiuta a valutare quando una finalità ulteriore è ammessa senza una nuova base. Mappare ogni finalità con la sua base e il suo tempo di conservazione è il modo più sicuro per non incappare in queste contestazioni.
FAQ
Posso cambiare la base giuridica dopo aver iniziato il trattamento?
No, non liberamente. La base va scelta prima del trattamento e comunicata all’interessato. Cambiarla ex post — ad esempio passare dal consenso al legittimo interesse quando gli utenti revocano — è considerato scorretto dal Garante e dall’EDPB, perché priva l’interessato delle garanzie collegate alla base originaria.
Il consenso è la base “più sicura”?
No, spesso è la più debole. È revocabile in qualsiasi momento e alla revoca il trattamento deve cessare. Dove esiste una base più stabile — contratto, obbligo legale, interesse pubblico — usarla è preferibile. Il consenso va riservato ai trattamenti realmente facoltativi, come il marketing.
Che base uso per i dati dei dipendenti?
Contratto (art. 6.1.b) per la gestione del rapporto e obbligo legale (art. 6.1.c) per fisco, contributi e sicurezza. Il consenso è quasi sempre invalido per lo squilibrio di potere; resta possibile solo per trattamenti facoltativi senza conseguenze in caso di rifiuto.
Serve una base giuridica anche per le categorie particolari?
Sì, e non basta. Per i dati dell’art. 9 GDPR (salute, biometria, convinzioni) serve sia una base dell’art. 6 sia una condizione dell’art. 9, par. 2. Le due vanno individuate insieme; in Italia gli artt. 2-sexies e 2-octies del Codice Privacy specificano le condizioni per il settore pubblico e i dati giudiziari.
Vedi anche: l’approfondimento sul legittimo interesse, la più flessibile tra le sei basi giuridiche.
Fonti ufficiali: il testo del GDPR su EUR-Lex, le linee guida del Garante e gli orientamenti dello European Data Protection Board.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial