Nel provvedimento n. 163 del 12 marzo 2026, il Garante Privacy ha ribadito che il legittimo interesse non può essere utilizzato come base giuridica residuale ogniqualvolta le altre condizioni di liceità del trattamento risultino inapplicabili. Il suo utilizzo richiede, infatti, una puntuale dimostrazione della necessità del trattamento, supportata da un’effettiva valutazione comparativa tra gli interessi perseguiti dal titolare e i diritti e le libertà fondamentali dell’interessato.
L’Autorità richiama, in particolare, tre presupposti essenziali: il trattamento deve risultare strettamente necessario e non semplicemente utile o conveniente per l’organizzazione; deve rientrare nelle ragionevoli aspettative dell’interessato in relazione al rapporto instaurato; e non deve determinare un sacrificio sproporzionato dei suoi diritti. Tali requisiti assumono un rilievo ancora maggiore quando il trattamento è idoneo a produrre effetti concreti e significativi sulla posizione contrattuale o personale dell’interessato.
Nel caso oggetto della sanzione da 17,6 milioni di euro, il Garante ha ritenuto illecito il trattamento proprio perché le modalità di utilizzo dei dati non erano prevedibili dal cliente alla luce del contesto e delle informazioni ricevute.