Secondo il GDPR la base giuridica cui far riferimento per le operazioni di trattamento dei dati personali è la valutazione della liceità di tali operazioni. Questo significa che il trattamento dei dati viene considerato legittimo in tutte le condizioni previste dal Regolamento EU 16/679 (in particolare l’articolo 6) ma – ed è questo il punto – anche se il trattamento viene esercitato per perseguire uno scopo del titolare, a meno che non siano prevalenti su tale scopo i diritti e le libertà fondamentali dell’interessato. Anche in assenza del consenso dell’interessato, quindi, il titolare può procedere al trattamento dei dati nel caso in cui ci sia un legittimo interesse.

Nel considerando n. 47 del General Data Protection Regulation si affronta proprio il tema del legittimo interesse. Ciò a cui si fa riferimento sono le “ragionevoli aspettative dell’interessato in base alla sua relazione con il titolare del trattamento”. In altre parole questo significa che se il titolare svolge in modo autonomo una valutazione di legittimo interesse allora si sta basando sul fatto che l’interessato si attende tale comportamento rispetto al trattamento dei propri dati vista la tipologia del loro contatto o rapporto in essere. Ma quali sono questi casi? Il rapporto tra cliente e fornitore, per esempio, o quello tra dipendente e datore di lavoro, ossia situazioni in cui è ovvio che verrà effettuato un trattamento dei dati personali per perseguire legittimi interessi.