Protezione dei dati

Legittimo interesse GDPR: il test di bilanciamento

Legittimo interesse ex art. 6(1)(f) GDPR: come svolgere il test di bilanciamento in tre fasi con i casi accettati e respinti dal Garante italiano.

Also available in:English·Français·Deutsch

Il legittimo interesse è la base giuridica dell’art. 6, par. 1, lett. f GDPR che consente un trattamento necessario a perseguire un interesse legittimo del titolare o di terzi, a condizione che non prevalgano i diritti e le libertà dell’interessato. È la più flessibile delle sei basi, ma anche la più esposta: legittima solo se supera un test di bilanciamento in tre fasi — idoneità, necessità, prevalenza — che va documentato per iscritto (LIA, Legitimate Interest Assessment). Questa guida spiega come svolgere il test e mostra i casi che il Garante ha accettato e quelli che ha respinto.

Key Takeaways

  • Il legittimo interesse (art. 6.1.f) richiede un test di bilanciamento in tre passaggi documentato in una LIA.
  • Non si applica ai trattamenti delle autorità pubbliche nell’esercizio dei loro compiti.
  • Il Garante lo ha accettato per antifrode, sicurezza informatica e soft marketing B2B.
  • Lo ha respinto per telemarketing senza consenso e profilazione invasiva.
  • L’interessato conserva sempre il diritto di opposizione (art. 21 GDPR).

Cos’è il legittimo interesse e i suoi limiti

L’art. 6, par. 1, lett. f consente il trattamento “necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato”. La formula contiene già i tre elementi del test: un interesse legittimo, la necessità del trattamento, il bilanciamento con i diritti dell’interessato.

Due limiti strutturali. Primo: la base non è disponibile per le autorità pubbliche nell’esecuzione dei loro compiti (art. 6, par. 1, ultimo comma); un comune usa l’interesse pubblico ex art. 2-ter Codice Privacy, non il legittimo interesse. Secondo: per le categorie particolari (art. 9) il legittimo interesse non basta, serve una condizione dell’art. 9, par. 2.

Il test di bilanciamento in tre fasi

La LIA si costruisce rispondendo, per iscritto, a tre domande in sequenza.

Fase 1 — Idoneità (purpose test). L’interesse perseguito è reale, attuale e lecito? Un interesse economico, di sicurezza o organizzativo è legittimo; un interesse vago o ipotetico no. Va descritto in modo specifico: non “migliorare il business” ma “prevenire frodi nei pagamenti online”.

Fase 2 — Necessità (necessity test). Il trattamento è necessario a quell’interesse, o esiste un mezzo meno invasivo? Se la finalità si raggiunge con meno dati o con dati anonimizzati, il legittimo interesse non regge. È il punto in cui la pseudonimizzazione può salvare il trattamento.

Fase 3 — Prevalenza (balancing test). I diritti e le ragionevoli aspettative dell’interessato prevalgono sull’interesse del titolare? Si valutano la natura dei dati, la relazione con l’interessato, l’impatto, le tutele adottate. Le ragionevoli aspettative sono decisive: un cliente si aspetta controlli antifrode, non la rivendita dei suoi dati.

Fase Domanda chiave Se fallisce
Idoneità L’interesse è reale e lecito? Base non utilizzabile
Necessità Non ci sono alternative meno invasive? Usa la via meno invasiva
Prevalenza I diritti dell’interessato non prevalgono? Ripiega sul consenso

Casi accettati e respinti dal Garante

La casistica italiana ed europea offre coordinate concrete.

Accettati. L’EDPB e il Garante riconoscono come legittimi: la prevenzione delle frodi, la sicurezza delle reti e dei sistemi informativi (esplicitamente citata dal considerando 49 GDPR), il marketing diretto in senso lato (considerando 47) — con cautele — e il soft marketing B2B verso contatti aziendali con cui esiste una relazione. In questi casi l’interesse è reale e le aspettative dell’interessato sono allineate.

Respinti. Il legittimo interesse non copre il telemarketing verso consumatori senza consenso: la lunga serie di sanzioni — da Enel Energia a TIM — nasce anche dal tentativo di spacciare per legittimo interesse trattamenti che richiedono il consenso. È respinta anche la profilazione invasiva e occulta, dove l’impatto sui diritti dell’interessato prevale. Il confine con il consenso è illustrato negli esempi di consenso GDPR conformi e nella guida alle basi giuridiche del trattamento.

Documentare la LIA e gestire l’opposizione

Il legittimo interesse regge solo se documentato. La LIA va conservata e richiamata nel registro dei trattamenti; l’informativa deve indicare espressamente l’interesse perseguito (art. 13, par. 1, lett. d), come previsto dal modello di informativa privacy. Senza LIA, in sede ispettiva il titolare non ha nulla da esibire e la base cade.

Va inoltre gestito il diritto di opposizione dell’art. 21: l’interessato può opporsi al trattamento basato sul legittimo interesse, e per il marketing diretto l’opposizione è incondizionata — il titolare deve cessare. Predisporre un canale semplice di opt-out e tracciare le opposizioni è parte integrante della conformità. Tenere insieme LIA, registro, informativa e opposizioni è esattamente il tipo di documentazione che una piattaforma come Legiscope centralizza per renderla pronta a un controllo.

Legittimo interesse e profilazione

Un punto merita attenzione: la profilazione. Il considerando 47 GDPR ammette che il legittimo interesse possa coprire alcune attività di marketing, ma la profilazione — l’analisi automatizzata per prevedere comportamenti, preferenze o solvibilità — sposta l’ago della bilancia verso i diritti dell’interessato. Più il profiling è granulare e invasivo, più difficilmente supera il balancing test, perché eccede le ragionevoli aspettative. Il retargeting pubblicitario basato su tracciamento cross-site, ad esempio, richiede in genere il consenso, non il legittimo interesse, anche per l’intreccio con la disciplina dei cookie ex art. 122 del Codice Privacy.

Diverso è il caso della profilazione antifrode: qui l’interesse è forte, l’impatto sull’interessato è a suo vantaggio (protezione dai furti d’identità) e le aspettative sono allineate. La lezione è che non esiste una risposta univoca “la profilazione si può fare in legittimo interesse”: dipende dall’intensità, dall’impatto e dalle tutele. Ogni scenario va valutato con una LIA specifica.

Quando ripiegare sul consenso

Se il test di bilanciamento non regge, la conseguenza non è abbandonare il trattamento, ma cambiare base: il consenso diventa la via corretta. È il caso del marketing verso consumatori, del retargeting invasivo, della condivisione di dati con partner commerciali. Il consenso costa di più in termini di gestione — è revocabile e va documentato — ma è l’unica base solida dove il legittimo interesse cede. Distinguere in anticipo i trattamenti che reggono in legittimo interesse da quelli che richiedono il consenso è la decisione che protegge il titolare da una contestazione sulla base giuridica.

FAQ

Cos’è il test di bilanciamento del legittimo interesse?

È la valutazione in tre fasi che legittima il trattamento ex art. 6.1.f: verificare che l’interesse sia reale e lecito (idoneità), che il trattamento sia necessario e senza alternative meno invasive (necessità), e che non prevalgano i diritti e le ragionevoli aspettative dell’interessato (prevalenza). Va documentata in una LIA scritta.

Posso usare il legittimo interesse per il marketing?

Con cautela. Il considerando 47 GDPR riconosce che il marketing diretto può basarsi sul legittimo interesse, ma il Garante lo esclude per il telemarketing verso consumatori senza consenso e per la profilazione invasiva. Il soft marketing B2B verso contatti con cui esiste una relazione è più difendibile; l’interessato conserva sempre l’opposizione incondizionata.

Le autorità pubbliche possono usare il legittimo interesse?

No, non nell’esecuzione dei loro compiti istituzionali (art. 6, par. 1, ultimo comma). Un ente pubblico usa la base del compito di interesse pubblico ex art. 6.1.e e art. 2-ter del Codice Privacy. Il legittimo interesse resta possibile solo per trattamenti estranei alla funzione pubblica.

Devo scrivere la LIA anche se l’interesse è ovvio?

Sì. Anche per finalità pacifiche come l’antifrode, la LIA scritta è ciò che dimostra l’accountability (art. 5, par. 2). In sede ispettiva il Garante chiede di esibire la valutazione: senza documento, la base giuridica è indifendibile a prescindere dalla bontà dell’interesse.

Vedi anche: il quadro completo delle basi giuridiche del trattamento (art. 6).


Fonti ufficiali: il testo del GDPR su EUR-Lex, il Garante per la protezione dei dati personali e gli orientamenti dello European Data Protection Board.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →