Uno degli equivoci più diffusi nel panorama professionale italiano riguarda la necessità del consenso per qualsiasi trattamento di dati personali a fini commerciali. Questa convinzione — errata — porta molti professionisti a rinunciare a pratiche del tutto lecite, o a costruire processi di raccolta del consenso inutilmente complessi e costosi.
Il GDPR prevede sei basi giuridiche alternative per il trattamento lecito dei dati (art. 6), e il consenso è solo una di esse. Il legittimo interesse (art. 6.1.f) è la base giuridica che, in molti contesti professionali, consente di trattare dati personali — incluso il contatto telefonico — senza aver ottenuto un consenso esplicito preventivo.
Cos'è il Legittimo Interesse e Come Funziona
Il legittimo interesse è definito dall'art. 6.1.f del GDPR come la possibilità di trattare dati personali quando "il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato" [1].
Il meccanismo è quello del bilanciamento: il titolare del trattamento deve dimostrare che il proprio interesse legittimo prevale sui diritti e le libertà dell'interessato. Questo bilanciamento non è automatico: deve essere valutato caso per caso e documentato nel cosiddetto Legitimate Interest Assessment (LIA).
Il Considerando 47 del GDPR fornisce un'indicazione esplicita: il marketing diretto può essere considerato un legittimo interesse. Tuttavia, lo stesso Considerando precisa che questo bilanciamento deve tenere conto delle "ragionevoli aspettative" dell'interessato basate sulla sua relazione con il titolare del trattamento.
I Tre Test del Legittimo Interesse
Per applicare correttamente il legittimo interesse, il titolare del trattamento deve superare tre test cumulativi, come indicato dalle linee guida del Working Party 29 (ora EDPB) [2]:
Test 1 — Test di Necessità. Il trattamento deve essere necessario per il perseguimento dell'interesse legittimo. "Necessario" non significa "utile" o "conveniente": significa che l'obiettivo non può essere raggiunto in modo altrettanto efficace con dati meno invasivi o con un trattamento meno impattante.
Test 2 — Test di Bilanciamento. L'interesse del titolare deve prevalere sui diritti e le libertà dell'interessato. I fattori da considerare includono: la natura dei dati (più sensibili, più difficile il bilanciamento), l'impatto sul comportamento dell'interessato, le ragionevoli aspettative dell'interessato, la vulnerabilità dell'interessato.
Test 3 — Test delle Garanzie. Devono essere previste misure per tutelare i diritti dell'interessato, in particolare: il diritto di opposizione (opt-out) deve essere facile, gratuito e immediato; l'interessato deve essere informato del trattamento e della base giuridica utilizzata.
Quando il Legittimo Interesse Regge: Casi Pratici
Sulla base della giurisprudenza del Garante italiano e delle linee guida EDPB, il legittimo interesse tende a reggere nei seguenti scenari:
| Scenario | Legittimo Interesse | Note |
|---|---|---|
| Agente immobiliare chiama proprietario di immobile per proposta di vendita | Sì, generalmente | Il proprietario può aspettarsi contatti da agenti |
| Consulente finanziario chiama imprenditore per consulenza patrimoniale | Sì, generalmente | Contesto B2B, aspettativa ragionevole |
| Telemarketing B2C su larga scala senza segmentazione | No | Impatto elevato, aspettativa bassa |
| Riattivazione di ex-clienti | Sì, generalmente | Relazione preesistente |
| Contatto di professionisti iscritti ad albi per servizi professionali | Sì, generalmente | Dati pubblici, finalità pertinente |
| Profilazione automatizzata per scoring creditizio | No | Richiede consenso esplicito |
Il Legittimo Interesse nel Settore Immobiliare
Il Garante Privacy italiano ha affrontato specificamente il tema del contatto telefonico nel settore immobiliare in diversi provvedimenti. La posizione consolidata è che un agente immobiliare che contatta un proprietario di immobile, identificato tramite dati catastali pubblici, per proporre una valutazione gratuita o una proposta di vendita, può in linea di principio invocare il legittimo interesse come base giuridica, a condizione che:
- I dati provengano da fonti pubbliche lecite (catasto, elenchi ufficiali)
- La finalità sia pertinente e proporzionata (proposta immobiliare, non profilazione commerciale generica)
- Il numero sia stato verificato contro il RPO
- L'interessato possa opporsi facilmente e la sua opposizione venga rispettata immediatamente
Piattaforme come TrovaNumero e servizi come listetelemarketing.eu sono progettati per operare esattamente in questo framework: fonti lecite, verifica RPO integrata, documentazione della provenienza dei dati.
Come Documentare il Legittimo Interesse
La documentazione del legittimo interesse è essenziale in caso di controllo del Garante. Il documento da produrre è il Legitimate Interest Assessment (LIA), che deve contenere:
- Descrizione dell'interesse legittimo perseguito
- Valutazione della necessità del trattamento
- Analisi del bilanciamento degli interessi (con considerazione delle aspettative dell'interessato)
- Descrizione delle garanzie adottate (opt-out, informativa, verifica RPO)
- Conclusione motivata sull'applicabilità del legittimo interesse
Il LIA deve essere conservato nel Registro delle Attività di Trattamento come allegato alla voce di trattamento corrispondente.
I Limiti: Quando il Legittimo Interesse Non Basta
Il legittimo interesse non è applicabile in tutti i contesti. In particolare, non può essere invocato per:
- Trattamento di categorie particolari di dati (art. 9 GDPR): dati sanitari, orientamento politico, religione, orientamento sessuale
- Decisioni automatizzate con effetti significativi sull'interessato (art. 22 GDPR)
- Trattamento di dati di minori per finalità commerciali
- Contesti dove l'interessato ha un'aspettativa ragionevole di non essere contattato
Conclusioni: Il Legittimo Interesse come Strumento Professionale
Il legittimo interesse è uno strumento potente e legittimo per i professionisti che operano nel rispetto delle regole. Non è una scappatoia né un modo per aggirare il consenso: è una base giuridica autonoma, prevista dal legislatore europeo, che consente di svolgere attività commerciali lecite in modo proporzionato e documentato. Chi lo applica correttamente lavora con serenità; chi lo ignora per paura o per eccesso di cautela si priva di uno strumento legale prezioso.
Riferimenti
[1] Regolamento (UE) 2016/679, art. 6.1.f e Considerando 47. https://eur-lex.europa.eu/ [2] EDPB (ex WP29). Opinion 06/2014 on the notion of legitimate interests of the data controller. https://edpb.europa.eu/ [3] Garante Privacy. Provvedimenti in materia di telemarketing e marketing diretto. https://www.garanteprivacy.it/
