Il legittimo interesse come base giuridica della cessione d’impresa

Il legittimo interesse nell’ambito delle operazioni di cessione d’impresa non può essere considerato una base giuridica automaticamente invocabile, ma richiede una verifica puntuale, concreta e documentata.

Con il provvedimento del 12 marzo 2026, il Garante per la Protezione dei Dati Personali si inserisce nel solco di una crescente attenzione delle autorità di controllo verso i trattamenti di dati personali effettuati nel contesto di operazioni societarie complesse, chiarendo in modo significativo i limiti applicativi del legittimo interesse, anche alla luce dell’articolo 58 del Testo Unico Bancario.

Infatti, Intesa Sanpaolo ha invocato come base giuridica a giustificazione della cessione dei clienti e dei relativi dati personali il legittimo interesse della banca allo svolgimento dell’attività bancaria in maniera digitale, selezionando, grazie ad un’équipe di esperti, tra i suoi clienti quelli che maggiormente si confacevano a tale mutamento.

La posizione della Banca

Secondo Intesa Sanpaolo, la cessione si configurava come un atto unitario composto dall’individuazione dei criteri per individuare i clienti con maggior familiarità ai canali digitali (età anagrafica non superiore a 65 anni; assenza di prodotti di protezione o investimento in portafoglio; giacenze finanziarie inferiori a 100.000 euro; assenza di particolari situazioni quali sequestri, pignoramenti, minore età e interdizione) e dall’individuazione materiale dei clienti da cedere a Isybank.

Intesa Sanpaolo ha affermato, inoltre, di aver svolto i test obbligatori di bilanciamento (cd. Legitimate Interest Assessment – LIA), vale a dire le valutazioni che operano il bilanciamento tra l’interesse del titolare, da una parte, e gli impatti sui diritti e le libertà degli interessati, dall’altra, concludendo che, nel contesto dell’operazione Isybank, “il trattamento rientra nelle ragionevoli aspettative dell’interessato (ndr. il cliente) […]”.

Inoltre, Intesa Sanpaolo ha sostenuto che non vi fosse alcuna attività di profilazione (ndr. raccolta automatizzata di dati personali utile per analizzare o prevedere aspetti del soggetto), poiché l’operazione integrava un trattamento unitario dei dati, senza cambio di finalità di trattamento e basato sull’interesse legittimo della stessa. Ulteriormente, secondo ISP, non aveva avuto luogo alcun procedimento automatizzato, essenziale per la profilazione.

Le conclusioni del Garante

Di diverso avviso è stato il Garante, che ha ravvisato una violazione degli articoli 5, paragrafo 1, lettera a), 6, paragrafo 1 e 14 del Regolamento (UE) 2016/679, dovuta ad una erronea valutazione del trattamento.

L’Autorità ha infatti ritenuto che l’operazione dovesse essere scomposta in due distinti momenti:

– una prima fase di elaborazione dei criteri idonei a identificare la clientela “digitale”;

– una seconda fase di selezione automatizzata dei clienti corrispondenti a tali parametri (profilazione).

Tale distinzione non è meramente formale, perché incide direttamente sulla qualificazione giuridica del trattamento. Se, infatti, la definizione dei criteri può essere ricondotta all’interesse legittimo del titolare, la successiva attività di selezione dei clienti integra una vera e propria attività di profilazione, che richiede una base giuridica autonoma e più stringente. In particolare, secondo il Garante, sarebbe stato necessario acquisire un consenso libero, specifico, informato e inequivocabile da parte degli interessati. Per il Garante, infatti, la base giuridica del legittimo interesse non poteva trovare applicazione al caso di specie, posto che la valutazione di bilanciamento (LIA) era stata eseguita da Intesa Sanpaolo, titolare del trattamento, senza considerare adeguatamente le ragionevoli aspettative e l’impatto del trattamento sull’interessato. L’invio di numerosi reclami al Garante, oltre che all’AGCM, da parte degli interessati dimostrava la non prevedibilità del trattamento per i clienti, così come le concrete conseguenze di fruizione dei servizi bancari per gli interessati (interazione con l’operatore bancario solo tramite smartphone, variazione dell’IBAN) non avevano avuto risalto nell’assessment.

L’Autorità ha, inoltre, evidenziato rilevanti criticità sotto il profilo dei principi di liceità, correttezza e trasparenza dell’attività e dell’informativa (art. 5, par. 1, lett. a).

L’informativa resa agli interessati è stata ritenuta inadeguata in quanto non indicava esplicitamente le finalità di profilazione e le modalità di trattamento di dati.

Inoltre, l’informativa sull’operazione è stata inviata ai correntisti durante il periodo estivo quando, secondo il Garante, i clienti possono essere meno attenti, con un avviso reso disponibile all’interno della sezione archivio dell’area utente, senza alcuna notifica e con un termine di silenzio assenso. 

Ciò considerato, il trattamento e la comunicazione sono state considerate non prevedibili per gli interessati ed eccessivamente unilaterali.

La trasparenza del trattamento dei dati personali deve essere caratterizzata dalla cosiddetta accountability. Infatti, il rispetto della normativa deve essere comprovato da prove concrete e conoscibili. Le previsioni di corretto trattamento devono essere sia antecedenti che in fase di svolgimento delle operazioni e ogni valutazione e azione di tutela e rispetto del Regolamento deve essere documentata.

Il provvedimento in esame offre indicazioni di particolare rilievo per gli operatori del settore bancario e, più in generale, per tutte le imprese coinvolte in processi di trasformazione digitale. Se è vero che la digitalizzazione rappresenta un obiettivo strategico promosso anche a livello europeo, è altrettanto evidente che tale percorso deve essere intrapreso nel rispetto delle garanzie poste a tutela dei diritti fondamentali degli interessati.

In particolare, laddove le operazioni implichino attività di profilazione o decisioni automatizzate, sarà necessario adottare cautele rafforzate, tra cui certamente, la completa e la trasparente informativa all’interessato e, ove richiesto, il suo preventivo consenso.

La competitività imprenditoriale rappresenta indubbiamente uno degli obiettivi primari dell’attività e potrebbe apparire più agevole perseguirla in assenza di procedure aggiuntive come quelle richieste dal Regolamento in materia di protezione dei dati personali, ma i rischi sanzionatori possono risultare significativamente superiori ai benefici perseguiti.

Punti chiave per una corretta cessione d’azienda o di ramo d’azienda

Delineato il caso Intesa Sanpaolo, ci sembra utile fissare punti chiave utili per una corretta cessione:

• in caso di profilazione, l’azienda deve trovare una autonoma base giuridica che giustifichi tale attività;
• gli interessati devono ricevere un’informativa chiara, accessibile e tempestiva;
• ove richiesto, il consenso deve essere libero, specifico, informato e inequivocabile da parte degli interessati (principio di trasparenza);
• la cessione in quanto tale non può essere causa e giustificazione dell’operazione di gestione di dati personali. Ogni operazione deve avere uno scopo e una giustificazione precisa ed autonoma;
• l’azienda deve rispettare il principio di accountability, documentando le valutazioni svolte prima e dopo l’inizio dell’attività.