Protezione dei dati

Basi giuridiche del trattamento: art. 6 GDPR in pratica

Le basi giuridiche del trattamento ex art. 6 GDPR: come scegliere quella giusta con una tabella decisionale italiana per marketing, dipendenti, PA e clienti.

Also available in:English·Français·Deutsch·Nederlands

Ogni trattamento di dati personali deve poggiare su una delle sei basi giuridiche dell’art. 6, par. 1 GDPR: consenso, contratto, obbligo legale, interesse vitale, compito di interesse pubblico, legittimo interesse. Scegliere quella giusta — e non cambiarla a piacimento — è la prima decisione di conformità, perché la base determina i diritti dell’interessato e i limiti del trattamento. L’errore più costoso, come mostra la casistica del Garante sul telemarketing, è usare il consenso quando la base corretta è un’altra, o viceversa. Questa guida fornisce una tabella decisionale per i casi italiani più comuni.

Key Takeaways

  • L’art. 6, par. 1 GDPR elenca sei basi giuridiche: nessun trattamento è lecito senza almeno una di esse.
  • La base va scelta prima del trattamento e documentata nel registro; non si può cambiarla ex post.
  • Nel rapporto di lavoro il consenso non è quasi mai valido: prevalgono contratto e obbligo legale.
  • Nel settore pubblico la base è il compito di interesse pubblico (art. 2-ter Codice Privacy), non il consenso.
  • Il marketing richiede consenso o, in casi limitati, legittimo interesse con test di bilanciamento.

Le sei basi dell’art. 6, par. 1 GDPR

Il Regolamento le pone su un piano di parità: nessuna è “superiore” alle altre, contano solo l’idoneità al contesto.

  • Consenso (lett. a): manifestazione libera, specifica, informata e inequivocabile.
  • Esecuzione di un contratto (lett. b): trattamento necessario per un contratto di cui l’interessato è parte, o per misure precontrattuali.
  • Obbligo legale (lett. c): il titolare deve trattare i dati per adempiere una norma (fiscale, giuslavoristica, antiriciclaggio).
  • Interesse vitale (lett. d): salvaguardia della vita dell’interessato o di terzi.
  • Compito di interesse pubblico (lett. e): esercizio di pubblici poteri.
  • Legittimo interesse (lett. f): interesse legittimo del titolare o di terzi, salvo prevalenza dei diritti dell’interessato.

Il criterio guida è la necessità: la base regge solo se il trattamento è realmente necessario a quella finalità. Se puoi raggiungere lo scopo senza quei dati, la base non tiene.

Come scegliere: la tabella decisionale italiana

La domanda non è “posso avere il consenso?”, ma “qual è la base più appropriata a questo trattamento?”. Ecco i casi ricorrenti.

Trattamento Base corretta Base sbagliata comune
Newsletter e marketing Consenso (art. 6.1.a) Legittimo interesse indiscriminato
Esecuzione di un ordine e-commerce Contratto (art. 6.1.b) Consenso
Buste paga e adempimenti fiscali Obbligo legale (art. 6.1.c) Consenso
Dati dei dipendenti Contratto / obbligo legale Consenso (quasi mai valido)
Trattamento da parte di un comune Interesse pubblico (art. 2-ter) Consenso
Antifrode e sicurezza informatica Legittimo interesse (art. 6.1.f) Consenso
Soft marketing B2B su clienti Legittimo interesse (con LIA)

Il consenso ha un costo nascosto: è revocabile in ogni momento (art. 7, par. 3), e alla revoca il trattamento deve cessare. Sceglierlo dove esiste una base più stabile — come il contratto — indebolisce la posizione del titolare. Per impostarlo correttamente dove serve davvero, si vedano gli esempi di consenso GDPR conformi.

Il consenso e i suoi limiti nel lavoro

Nel rapporto di lavoro il consenso è viziato in radice dallo squilibrio di potere tra datore e dipendente: l’EDPB e il Garante ritengono che difficilmente possa essere “libero”. La base corretta per la gran parte dei trattamenti HR è il contratto (gestione della prestazione) o l’obbligo legale (contributi, fisco, sicurezza sul lavoro). Il consenso resta praticabile solo per trattamenti realmente facoltativi e privi di conseguenze in caso di rifiuto — ad esempio la pubblicazione della foto sul sito aziendale. Il tema è sviluppato nella guida GDPR e risorse umane e nel modello di informativa per i dipendenti.

Legittimo interesse: quando regge

Il legittimo interesse (art. 6, par. 1, lett. f) è la base più flessibile ma anche la più delicata: richiede un test di bilanciamento in tre passaggi — idoneità, necessità, prevalenza. Il Garante lo ha accettato per finalità come antifrode, sicurezza delle reti e soft marketing verso clienti B2B; lo ha respinto per il telemarketing invasivo e la profilazione occulta. La metodologia completa è nella guida al legittimo interesse e al test di bilanciamento.

Documentare la base nel registro

La base scelta non resta un’idea: va scritta. L’art. 30 GDPR impone di indicare, per ogni trattamento, la finalità; la best practice — e la richiesta costante del Garante in sede ispettiva — è documentare anche la base giuridica nel registro dei trattamenti e replicarla nell’informativa privacy resa all’interessato.

Coerenza è la parola chiave: la stessa finalità deve avere la stessa base in registro, informativa e prassi operativa. Un disallineamento — consenso nell’informativa, legittimo interesse nel registro — è una delle contestazioni più frequenti. Tenere queste tre viste sincronizzate è una delle attività che una piattaforma come Legiscope automatizza, generando registro e informative dalla stessa mappatura.

Errori comuni nella scelta della base

Alcuni errori ricorrono nelle istruttorie del Garante e vale la pena elencarli. Il primo è il doppio ancoraggio: indicare due basi giuridiche “per sicurezza” (consenso e legittimo interesse) per lo stesso trattamento. L’EDPB lo considera scorretto perché confonde l’interessato sui suoi diritti — con il consenso può revocare, con il legittimo interesse può opporsi — e non consente di sapere quale regime si applica. Si sceglie una base sola, quella corretta.

Il secondo errore è usare il consenso come scorciatoia per trattamenti che sono in realtà necessari all’esecuzione di un contratto. Chiedere il consenso per spedire un prodotto già ordinato non solo è ridondante, ma indebolisce la posizione del titolare: se l’utente revoca, la merce andrebbe teoricamente bloccata. La base corretta è il contratto (art. 6.1.b).

Il terzo è trascurare la finalità ulteriore. Se raccogli i dati per eseguire un ordine e poi vuoi usarli per marketing, quella è una finalità nuova con una base propria (il consenso) e va comunicata separatamente. Il test di compatibilità dell’art. 6, par. 4 GDPR aiuta a valutare quando una finalità ulteriore è ammessa senza una nuova base. Mappare ogni finalità con la sua base e il suo tempo di conservazione è il modo più sicuro per non incappare in queste contestazioni.

FAQ

Posso cambiare la base giuridica dopo aver iniziato il trattamento?

No, non liberamente. La base va scelta prima del trattamento e comunicata all’interessato. Cambiarla ex post — ad esempio passare dal consenso al legittimo interesse quando gli utenti revocano — è considerato scorretto dal Garante e dall’EDPB, perché priva l’interessato delle garanzie collegate alla base originaria.

Il consenso è la base “più sicura”?

No, spesso è la più debole. È revocabile in qualsiasi momento e alla revoca il trattamento deve cessare. Dove esiste una base più stabile — contratto, obbligo legale, interesse pubblico — usarla è preferibile. Il consenso va riservato ai trattamenti realmente facoltativi, come il marketing.

Che base uso per i dati dei dipendenti?

Contratto (art. 6.1.b) per la gestione del rapporto e obbligo legale (art. 6.1.c) per fisco, contributi e sicurezza. Il consenso è quasi sempre invalido per lo squilibrio di potere; resta possibile solo per trattamenti facoltativi senza conseguenze in caso di rifiuto.

Serve una base giuridica anche per le categorie particolari?

Sì, e non basta. Per i dati dell’art. 9 GDPR (salute, biometria, convinzioni) serve sia una base dell’art. 6 sia una condizione dell’art. 9, par. 2. Le due vanno individuate insieme; in Italia gli artt. 2-sexies e 2-octies del Codice Privacy specificano le condizioni per il settore pubblico e i dati giudiziari.

Vedi anche: l’approfondimento sul legittimo interesse, la più flessibile tra le sei basi giuridiche.


Fonti ufficiali: il testo del GDPR su EUR-Lex, le linee guida del Garante e gli orientamenti dello European Data Protection Board.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →