Aristotelis Zervos
Aristotelis Zervos, direttore editoriale di 2B Advice, unisce competenze giuridiche e giornalistiche in Protezione dei datiConformità informatica e regolamentazione dell'IA.
In pratica, il legittimo interesse è spesso la base giuridica „universale“ e allo stesso tempo una delle più soggette a errori. Chiunque utilizzi l'art. 6 comma 1 lett. f GDPR deve chiaramente giustificare in anticipo l'esistenza di un interesse legittimo per il quale il progetto di Elaborazione è necessario a tal fine e perché, alla fine, non esistono diritti prevalenti degli interessati in senso contrario. L'articolo vi guida sistematicamente attraverso il test in tre fasi per la determinazione dell'interesse legittimo, basato sul catalogo di domande del Commissario di Amburgo per la protezione dei dati e la libertà di informazione, e si avvale di esempi pratici (tra cui il marketing diretto e il trattamento dei dati personali). Sorveglianza video), come viene stabilito, documentato e attuato in modo coerente nella prassi di compliance un solido bilanciamento degli interessi.
Interesse legittimo come arma multiuso della DEGVO
Art. 6 comma 1 lett. f GDPR fornisce alle aziende e alle autorità una base giuridica flessibile per Elaborazione dati personali, a condizione che interessi legittimi del responsabile del trattamento o di un terzo e non vi siano interessi preponderanti o diritti fondamentali delle persone interessate che impediscano il contrario. Tuttavia, questa clausola di bilanciamento richiede un attento esame in ogni singolo caso.
Già il Corte costituzionale federale (BVerfG) ha sottolineato nella sentenza sul censimento del 1983 che l'interferenza con il diritto di Autodeterminazione informativa sono ammissibili solo nel prevalente interesse pubblico sulla base di una legge proporzionata. Di conseguenza, il legislatore europeo ha introdotto il test in tre fasi di cui all'art. 6 comma 1 lett. f GDPR che ha lo scopo di garantire che ogni Elaborazione in conformità con la legge e proporzionati all'interesse legittimo.
In pratica Persone responsabili documentato in anticipo,
- se esiste un interesse legittimo,
- se il Elaborazione è necessario per questo, e
- se non prevalgono gli interessi o i diritti fondamentali degli interessati.
Il 6 gennaio 2026, il Commissario di Amburgo per la protezione dei dati e la libertà di informazione (HmbBfDI) ha pubblicato un catalogo di domande che elenca i criteri per ogni fase e consente una ponderazione strutturata degli interessi. Le tre fasi di revisione sono spiegate sistematicamente di seguito e illustrate con esempi pratici.
Esistenza di un interesse legittimo
Il primo passo consiste nell'esaminare quale sia l'interesse del Persone responsabili o un terzo con il trattamento dei dati previsto. Art. 6 comma 1 lett. f GDPR cita espressamente sia gli interessi propri del responsabile del trattamento sia gli interessi di terzi (persone fisiche o giuridiche, autorità, ecc., cfr. art. 4 n. 10) GDPR). Il fattore decisivo è che si tratti di un interesse „legittimo“. Questo termine deve essere inteso in senso ampio: Può essere di natura giuridica, economica, non materiale o fattuale. In linea di principio, si può prendere in considerazione un'ampia gamma di interessi, come quelli economici (ad esempio, aumento dell'efficienza, riduzione dei costi), di sicurezza (protezione da frodi, furti o attacchi informatici) o sociali/interni (mantenimento della sicurezza della rete, garanzia di qualità, assistenza ai clienti). Tuttavia, devono essere soddisfatti alcuni criteri di qualificazione affinché un interesse sia riconosciuto come „legittimo“:
- Legittimità e conformità legale: L'interesse perseguito deve essere legittimo. Gli interessi che violano il diritto dell'UE o degli Stati membri non sono di per sé legittimi. Per esempio, un „interesse“ all'uso discriminatorio dei dati o alla protezione generale dei dati sarebbe Conservazione dei dati inammissibile senza uno scopo.
- Chiarezza e precisione: L'interesse e lo scopo specifico del Elaborazione deve essere formulato in modo concreto e preciso. Nella terza fase, solo un interesse chiaramente definito può essere contrapposto in modo significativo alla Diritti degli interessati devono essere ponderati. Non sono sufficienti affermazioni vaghe o generiche („qualsiasi scopo commerciale“).
- Attualità e pertinenza con la realtà: L'interesse deve essere reale e presente, non solo speculativo o ipotetico. Un beneficio solo possibile in un futuro lontano non giustifica l'attuale trattamento dei dati. Esempio: la conservazione dei dati dei clienti „in magazzino“ per idee commerciali future non ancora definite non è un interesse legittimo.
Se queste condizioni sono soddisfatte, si può ipotizzare un interesse legittimo (cioè legittimo e degno di tutela). Esempi tipici si trovano nei considerando: Il considerando 47, ad esempio, cita esplicitamente il marketing diretto come possibile caso di interesse legittimo. Un'azienda può quindi generalmente presumere che l'interesse nel marketing diretto (soprattutto nei confronti dei clienti esistenti) possa essere legittimo.
6 Domande sul legittimo interesse
Qual è l'interesse dell'attività di trattamento?
Si tratta del beneficio generale che ci si aspetta dall'attività di trattamento, come la „commercializzazione dei prodotti“. I considerando da 47 a 49 della GDPR contengono esempi di interessi legittimi.
Qual è la finalità specifica del trattamento previsto?
Si tratta dell'obiettivo o del motivo specifico del trattamento dei dati previsto. Esempio: pubblicità diretta ai propri clienti tramite lettera postale (ad es. catalogo pubblicitario).
Chi segue l'interesse?
Art. 6 comma 1 lett. f GDPR include i dati propri e di terzi (terzo) Interessi. Per „terzo“ si intende una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un organismo diverso dall'interessato, dal responsabile del trattamento, dall'incaricato del trattamento e dalle persone che, sotto l'autorità diretta del responsabile del trattamento o dell'incaricato del trattamento, sono autorizzate a trattare dati personali, Art. 4 n. 10 GDPR.
L'interesse è legittimo e non viola la legge applicabile?
Gli interessi che violano la legge applicabile dell'UE o di uno Stato membro non sono autorizzati.
L'interesse è formulato in modo chiaro e preciso?
La portata dell'interesse legittimo perseguito deve essere chiaramente definita in modo da poter essere ponderata con gli interessi e i diritti fondamentali dell'interessato nella terza fase.
L'interesse è reale e presente?
Gli interessi speculativi o ipotetici non possono essere valutati correttamente e quindi non possono giustificare il trattamento dei dati. Esempio: A Conservazione dei dati per future idee imprenditoriali non ancora finalizzate.
Necessità del trattamento
Se esiste un interesse legittimo, il secondo passo è quello di Necessità e l'adeguatezza del progetto Elaborazione essere esaminati per il perseguimento di questo interesse. Art. 6 comma 1 lett. f GDPR richiede che il Elaborazione „è “necessario ai fini degli interessi legittimi". Ciò riflette il principio generale di proporzionalità: la misura deve essere adeguata e necessaria per raggiungere l'obiettivo legittimo. E non deve interferire in modo sproporzionato con i diritti degli interessati.
Le domande chiave in questa fase sono: Questi dati specifici sono necessari per lo scopo? E se sì, non esistono mezzi più blandi per realizzare il legittimo interesse in modo altrettanto efficace? La formulazione della GDPR e il principio di Minimizzazione dei dati (Art. 5, comma 1, lettera c)). GDPR) stabiliscono la direzione da seguire: Possono essere trattati solo i dati appropriati, pertinenti e assolutamente necessari. Se esiste un metodo altrettanto efficace ma meno invasivo per l'interessato, questo deve essere scelto. Esempi di mezzi più blandi possono essere Anonimizzazione o Pseudonimizzazione dei dati, l'uso di dati di prova sintetici invece di dati personali reali o l'analisi limitata di campioni invece di un'indagine completa.
Un altro elemento del Necessità è la limitazione dell'ambito del ElaborazioneLa misura prevista deve essere il più possibile ridotta e mirata. In termini concreti, ciò significa: portata dei dati, gruppo di persone e durata della misura. Elaborazione deve essere ridotto al minimo indispensabile. Occorre inoltre prestare particolare attenzione al periodo di stoccaggio: Dati personali possono essere conservati solo per il tempo necessario allo scopo previsto. A Concetto di cancellazione con scadenze definite è essenziale. Una volta cessato lo scopo, sussiste l'obbligo di cancellazione (art. 17 cpv. 1 lett. a). GDPR; Considerando 39). Esempio: Con Sorveglianza video di una sede aziendale potrebbe Necessità può essere limitato sovrascrivendo automaticamente le registrazioni dopo un breve periodo (ad esempio 48 ore) se non è stato rilevato alcun evento rilevante per la sicurezza.
Il test di necessità obbliga la persona responsabile a Elaborazione esaminati criticamente.
7 Domande sulla necessità del trattamento
Il trattamento è assolutamente necessario per raggiungere l'interesse o sono possibili anche mezzi più blandi?
Non ci devono essere mezzi più blandi e meno invasivi. Devono essere esaminate le alternative. Esempio: Anonimizzazione, Pseudonimizzazione, dati sintetici invece di dati reali.
I dati da trattare sono limitati allo stretto necessario?
Il principio di Minimizzazione dei dati deve essere osservato, art. 5, comma 1, lett. c. GDPR. Possono essere trattati solo i dati appropriati, pertinenti e necessari per lo scopo specifico. In particolare, il Elaborazione di dati sensibili (art. 9 GDPR) è consentita solo in casi eccezionali, limitati e regolamentati dalla legge (art. 9 par. 2). GDPR) consentito.
Il numero degli interessati è limitato al minimo necessario per raggiungere lo scopo?
Esempio: limitazione del numero di record di dati, campioni casuali invece di indagini complete, Anonimizzazione.
L'elaborazione dei dati è una tantum o continua?
Con il continuo Elaborazione deve essere il Necessità essere permanente. Una volta stabilito un interesse legittimo, questo non giustifica automaticamente un trattamento continuo. Elaborazione di dati.
Tutte le fasi del trattamento sono necessarie per lo scopo o è possibile omettere singole fasi?
Le fasi di lavorazione devono essere considerate e valutate singolarmente.
Esiste un concetto di cancellazione? Il periodo di conservazione è definito?
Dati personali possono essere conservati solo per il tempo necessario allo scopo prefissato (Racc. 39 e art. 17 par. 1 lett. a)). 39 e art. 17, par. 1, lett. a) GDPR). Una volta che lo scopo ha cessato di esistere, vi è generalmente un obbligo di cancellazione. D'altro canto, esistono periodi di conservazione previsti dalla legge, ad esempio dal Codice commerciale tedesco (HGB), dal Codice fiscale tedesco (AO), dalla legge tedesca sull'imposta sul reddito (EStG), dalla legge sulla sicurezza sociale o dal Codice industriale tedesco (Gewerbeordnung). Il periodo di conservazione deve essere documentato per ogni categoria di dati e devono essere previsti processi di cancellazione automatica.
Esiste una panoramica dei flussi di dati esistenti e previsti?
Il flusso di dati deve essere Terza parte essere comprensibile e trasparente. Un diagramma del flusso di dati viene utilizzato per la visualizzazione personale e per la rendicontazione e l'illustrazione alla direzione, ai clienti, alle persone interessate, alle autorità di vigilanza, ecc.
Bilanciamento degli interessi: Prevalgono gli interessi degli interessati?
Solo quando è stato individuato un interesse legittimo e la misura è stata qualificata come necessaria per questo scopo, si raggiunge la valutazione decisiva ai sensi dell'art. 6 par. 1 lett. f, comma 2. GDPRGli interessi, i diritti e le libertà fondamentali dell'interessato prevalgono sugli interessi del responsabile del trattamento? Questo terzo La seconda fase di revisione garantisce che, anche in caso di obiettivi legittimi e di trattamento dei dati necessario, gli interessi delle persone interessate meritevoli di protezione non vengano compromessi in modo sproporzionato. Ciò comporta una valutazione completa di tutte le circostanze del singolo caso. Il considerando 47, frase 1, sottolinea che si deve tenere conto delle ragionevoli aspettative dell'interessato in base al suo rapporto con il responsabile del trattamento. Di conseguenza, il Elaborazione solo se la bilancia non pende a favore delle parti interessate. In caso contrario, il Elaborazione illegale.
La giurisprudenza (in particolare la Corte di giustizia europea e i tribunali nazionali) e le autorità di vigilanza hanno sviluppato numerosi criteri che sono inclusi nella ponderazione degli interessi. Sulla base di tali criteri viene effettuata una valutazione complessiva. Nessun criterio è di per sé decisivo; piuttosto, deve essere effettuato un bilanciamento completo degli interessi. Gli interessi legittimi del responsabile del trattamento vengono confrontati con gli effetti negativi sugli interessati. In definitiva, questa valutazione è simile a un test di proporzionalità in senso stretto (soppesando la gravità dell'interferenza rispetto all'importanza dello scopo). Il considerando 47 stabilisce che le autorità non devono fare affidamento sull'articolo 6, paragrafo 1, lettera f), quando si tratta di adempiere ai loro compiti pubblici. In caso contrario, si applica quanto segue: più importante è l'interesse e minore è il peso dell'interferenza, più è probabile che prevalga l'interesse del responsabile del trattamento.
Suggerimento di lettura: Valutazione intelligente dell'impatto sulla protezione dei dati in Ailance
Diritti, libertà e interessi fondamentali degli interessati
Quali sono i diritti fondamentali delle persone interessate?
Diritto di La privacy, libertà di espressione e di informazione, libertà di pensiero, di coscienza e di religione, libertà di riunione e di associazione, divieto di discriminazione, diritto alla proprietà o diritto all'integrità fisica e mentale, tra gli altri.
Sono interessate le libertà fondamentali degli interessati?
Ciò include la libera circolazione delle merci, la libera circolazione dei lavoratori, la libertà di stabilimento, la libera prestazione dei servizi, la libertà dei capitali e la libertà di pagamento ai sensi del TFUE.
Oltre ai diritti e alle libertà fondamentali, vengono presi in considerazione anche gli „interessi“ delle persone interessate?
Questo include tutti gli interessi che sono messi a repentaglio dalla Elaborazione potrebbe essere compromesso.
- Interessi finanziari: ad esempio, protezione dagli effetti sugli investimenti, opportunità di lavoro, previdenza, rating e copertura assicurativa.
- Interessi sociali: ad esempio, protezione della sfera sociale, danni alla reputazione, discriminazione, contatti indesiderati.
- Interessi personali: ad esempio, protezione della sfera intima e personale. La privacy trattando i dati in relazione alla vita sessuale o all'orientamento sessuale di una persona
Tipo di dati personali
Che tipo di dati devono essere elaborati?
A che titolo le persone interessate? Esempio: A titolo personale o professionale.
Si tratta di categorie particolari di dati personali (art. 9 GDPR)?
Questi dati sensibili comprendono in particolare
- Origine etnica e razza
- opinioni politiche
- convinzioni religiose o ideologiche
- Iscrizione ai sindacati
- Dati genetici e biometrici (ad es. impronte digitali)
- Dati sulla salute
- Dati sulla vita sessuale o sull'orientamento sessuale di una persona
In caso di trattamento di questi dati, gli interessi potenziali delle persone interessate hanno generalmente un peso elevato nel processo di ponderazione. Inoltre, i requisiti di cui all'art. 9 par. 2 GDPR essere soddisfatti. Anche se un'eccezione ai sensi dell'art. 9, par. 2, del Codice Civile non è stata rispettata. GDPR la ponderazione degli interessi di cui all'art. 6 par. 1 lett. f GDPR Tuttavia, il risultato è favorevole agli interessi della persona interessata (cfr. CGUE del 21 dicembre 2023 (causa C-667/21)).
Si tratta di dati provenienti da bambini?
L'interesse superiore del bambino deve essere una considerazione primaria in tutte le misure che lo riguardano. A questo proposito, devono essere presi in considerazione tutti i diritti, non solo quelli relativi alla protezione dei dati, cfr. la Raccomandazione n. 38 sulla protezione dei dati. 38 sulla GDPR.
Si tratta di dati relativi a condanne penali e reati ai sensi dell'art. 10 del GDPR?
Anche questi dati (compreso il certificato di buona condotta) sono particolarmente degni di tutela. A Elaborazione deve avvenire solo sotto controllo ufficiale o se è consentito dal diritto dell'Unione o nazionale.
Si tratta di dati privati?
Alcuni dati sono considerati particolarmente sensibili o privati dagli interessati, anche se ciò non è specificamente menzionato nell'art. 9 del GDPR. GDPR o Art. 10 GDPR sono elencati. Esempio: dati finanziari, di localizzazione o familiari.
Ragionevoli aspettative degli interessati (Considerando 47 p. 1 del GDPR)
Dove e quando vengono raccolti i dati?
Un'indicazione a favore della persona interessata sussiste se i dati vengono utilizzati per uno scopo completamente nuovo, irriconoscibile o che va oltre lo scopo originario e la persona interessata non poteva ragionevolmente aspettarsi il trattamento dei dati al momento della raccolta (si veda anche l'art. 6, par. 4). GDPR).
Come vengono raccolti i dati?
Quali tecnologie e metodi vengono utilizzati? Queste pratiche sono generalmente conosciute e trasparenti per le persone interessate? Esempi: Sondaggi online, Concorsi, Web scraping.
Come si rende trasparente il trattamento dei dati agli interessati?
Il Obbligo di informazione ai sensi degli artt. 13 e 14 GDPR devono essere osservati. Queste informazioni devono essere fornite direttamente al momento della raccolta dei dati. In caso contrario, la liceità del Elaborazione già a causa della mancanza di Trasparenza.
Esiste una relazione con le persone interessate?
Se esiste già una relazione tra l'interessato e il responsabile del trattamento, ciò aumenta la prevedibilità del trattamento dei dati, considerando 47, paragrafo 2, della direttiva. GDPR. Esempio: il colpiti La persona è già cliente.
Quanto è estesa la raccolta dei dati e quante persone sono coinvolte?
Maggiore è la portata del trattamento dei dati, maggiore è il rischio che i diritti degli interessati vengano lesi.
Quali sono i possibili effetti negativi del trattamento sui soggetti interessati?
Se un Valutazione dell'impatto sulla protezione dei dati o l'analisi dei valori soglia?
Esistono effetti positivi del trattamento sui soggetti interessati?
Se il Elaborazione nell'interesse oggettivo e presunto dell'interessato. Esempi: Risparmio di tempo, vantaggi finanziari.
Gli interessati perderanno il controllo sull'uso dei loro dati personali?
Sono state adottate misure di protezione per ridurre al minimo gli effetti? Le persone colpite possono adottare autonomamente misure di protezione, se necessario?
Chi elabora i dati? Quante persone hanno accesso?
Quali sono le qualifiche delle persone o delle aziende che trattano i dati? I dati sono trattati in modo confidenziale? Esistono restrizioni all'accesso ai sensi dell'art. 32, comma 4? GDPR?
Esempi di bilanciamento degli interessi
Pubblicità diretta ai clienti esistenti:
Un'azienda vorrebbe utilizzare i dati dei clienti per Pubblicità per prodotti simili. Interesse: marketing efficace (interesse economico legittimo, considerando 47). Dati: Nome e indirizzo. I dati normali sono già stati raccolti nell'ambito del rapporto con il cliente. NecessitàLa spedizione non è possibile senza questi dati; mezzi più blandi potrebbero essere. Consenso, Tuttavia, la legge riconosce che l'azienda ha un interesse legittimo a fare pubblicità diretta ai clienti esistenti. Considerazioni: A causa del rapporto commerciale, i clienti hanno una certa aspettativa di ricevere occasionalmente Pubblicità e l'intervento è limitato a una pubblicità letteraria moderata. Inoltre, viene offerta chiaramente un'opzione di opt-out. Risultato: di norma, in questo caso prevalgono gli interessi dell'azienda. Elaborazione è ammissibile.
Videosorveglianza di un negozio:
Il gestore di un negozio installa telecamere di sorveglianza sulla superficie di vendita per prevenire i furti. Interesse: Protezione della proprietà, sicurezza dei dipendenti e dei clienti (interesse legittimo). Dati: Registrazioni video di tutti i presenti nel negozio (potenzialmente molti Parti interessate, dati comportamentali in parte sensibili; eventualmente anche dipendenti = particolari esigenze di protezione secondo la giurisprudenza del BVerfG nei rapporti di lavoro). NecessitàPotrebbero essere sufficienti alternative come l'aumento del personale o l'etichettatura di sicurezza? In caso contrario, è Sorveglianza video generalmente adatto come ultima risorsa. Ponderazione: Questo aspetto deve essere esaminato con attenzione: La misura interferisce con il diritto di La privacy dei clienti. Mitigazione attraverso Trasparenza (cartelli informativi), angoli di ripresa limitati (nessuna sorveglianza di aree private come i servizi igienici) e brevi periodi di conservazione sono importanti. Se il negozio si trova in una zona ad alto tasso di furti e la sorveglianza avviene durante l'orario di apertura, l'interesse dell'esercente (protezione da danni significativi) potrebbe quasi superare l'interesse del cliente a non essere osservato mentre fa acquisti.. Sempre che non sia possibile una soluzione meno invasiva. Tuttavia, se si dovessero effettuare delle riprese permanenti senza alcuna indicazione o se si dovessero monitorare delle aree che La privacy (ad esempio, gli spogliatoi), il Diritti degli interessati predominano chiaramente e la Elaborazione sarebbe inammissibile. Anche le aspettative dei dipendenti sono rilevanti ai sensi del diritto del lavoro: La sorveglianza occulta sarebbe sproporzionata, mentre le telecamere aperte possono essere ammesse con il consenso del comitato aziendale se non vi è una pressione permanente di stress/monitoraggio. I tribunali (compresa la Corte costituzionale federale) richiedono una rigorosa proporzionalità e il rispetto dei diritti dei dipendenti.
Interesse legittimo come base giuridica
Esempi come questi chiariscono che il bilanciamento degli interessi richiede una valutazione individuale. Piccoli cambiamenti nei fatti del caso (diversa portata dei dati, diverso contesto) possono modificare il risultato. Pertanto, la valutazione deve essere specifica e documentata per ogni attività di trattamento. Se i diritti delle persone interessate sono significativamente compromessi, il limite di ciò che è consentito è stato raggiunto. Allora il Diritti degli interessati e l'art. 6 par. 1 lett. f GDPR non fornisce una base di legittimazione.
Al contrario, se il test in tre fasi è stato eseguito e documentato con cura, l'art. 6 cpv. 1 lett. f GDPR fornire una base giuridica affidabile in molte situazioni.
Fonte: Catalogo di domande sul bilanciamento degli interessi ai sensi del GDPR dell'HmbBfDI
Implementare l'elaborazione in modo intelligente con Ailance
Desiderate effettuare la verifica in tre fasi ai sensi dell'art. 6 cpv. 1 lett. f GDPR non solo in modo corretto, ma anche verificabile e scalabile. Incluso un sistema pulito Documentazione, revisione del flusso di lavoro e rivalutazione periodica? Ailance vi supporta nell'ottimizzazione dei processi per Trasparenza, Contraddizione (Art. 21 GDPR) e Cancellazione (Art. 17 GDPR) in modo efficiente.
Organizzate una demo di Ailance e scoprire come potete interessi legittimi documentare a prova di audit e rafforzare la vostra conformità alla protezione dei dati a lungo termine.
Aristotelis Zervos è direttore editoriale di 2B Advice, avvocato e giornalista esperto di protezione dei dati, GDPRconformità informatica e governance dell'IA. Pubblica regolarmente articoli di approfondimento sulla regolamentazione dell'IA, sulla conformità al GDPR e sulla gestione del rischio. Per saperne di più su di lui, visitate il sito Pagina del profilo dell'autore.
German 
English 
Italian 
French