L’articolo 6 del GDPR dispone che il trattamento dei dati personali è lecito solo in presenza di almeno una delle condizioni tassativamente elencate, quelle che vengono definite base giuridica del trattamento stesso. Oltre a quelle più ovvie, quali il consenso dell’interessato o l’esecuzione di un contratto di cui è parte, troviamo l’adempimento di obblighi legali e la salvaguardia di interessi vitali, nonché l’esecuzione di attività di pubblico interesse. L’elenco si chiude con la lettera F) che inserisce tra le condizioni del trattamento il legittimo interesse del titolare o di terzi.

Testualmente, un trattamento di dati personali è lecito se “è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgono gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore”.  Una norma di apparente apertura, ma che pone problemi interpretativi non da poco, laddove si consideri che, in molti casi, quelli del Titolare sono interessi di natura economica. In sintesi possiamo concedere ad un titolare la possibilità di utilizzare dati personali quando il suo interesse possa considerarsi prevalente su quello degli interessati e sui loro diritti e libertà e, ovviamente, sia legittimo. Anche la versione inglese del GDPR precisa che si debba trattare di “legitimate interests”

Quello di interesse, in questo caso è un concetto giuridico, vale a dire una posizione dove le istanze di un individuo trovano una forma di protezione e tutela da parte dell’ordinamento giuridico, che può anche intervenire per ripristinare situazioni in cui un soggetto veda lesa la propria posizione. Laddove diversi soggetti siano portatori di istanze confliggenti, l’ordinamento deve stabilire quale delle posizioni in conflitto sia degna di maggiore tutela e, nel caso, anche sanzionare eventuali violazioni. Se tutto ciò è chiaro, laddove le posizioni siano ben definite o codificate, la lettera del GDPR si offre a possibili diverse interpretazioni in quanto il margine di discrezionalità non solo degli operatori in una fase operativa, ma anche di un giudice in fase sanzionatoria, può essere ben dilatato. 

Ogni operatore chiamato ad applicare il GDPR dovrà quindi, nella fase di predisposizione delle policy di protezione e trattamento dati, avere ben chiaro, individuare e definire non solo il proprio interesse, ma anche quelli degli interessati, valutare l’impatto sui loro diritti e libertà, e dimostrare inoltre che il suo interesse, o quello di terzi, prevalga su quello degli interessati. Ergo, non potrà un imprenditore sostenere che il proprio interesse a contattare possibili clienti prevalga sulla privacy di questi ultimi, che non potrà quindi essere violata con mail o telefonate a meno che non vi sia un’espressa autorizzazione.

Linee guida sono state fornite già dal Gruppo di Lavoro Art. 29 che, già nel 2014 che aveva indicato come l’interesse debba essere lecito e perseguito nel rispetto della norma, in maniera corretta e trasparente. Inoltre detto interesse deve essere reale e attuale, e da ciò si trae la conclusione che una conservazione a tempo indeterminato di dati non sia ammissibile. 

Una considerazione riguarda proprio l’indicazione del legittimo interesse all’ultimo punto nell’elenco delle condizioni per poter trattare dati, che sembra porlo come ipotesi residuale rispetto alle precedenti condizioni, nel caso in cui si voglia lasciare al Titolare una possibilità laddove non possa usare le precedenti. In ogni caso non si ritiene che possa essere invocato un legittimo interesse nel caso in cui sia stato effettuato un trattamento in mancanza di condizioni o senza averlo ottenuto in precedenza.