En termes similars a la Directiva 95/46/CE, l'RGPD inclou l'interès legítim del responsable o d'un tercer com a base jurídica per al tractament de dades personals (art.6.1.f). Tanmateix, per a això no n'hi ha prou amb l'existència d'un interès legítim, sinó que és necessari que prevalgui sobre els interessos, els drets o les llibertats fonamentals de l'interessat.
Per tant, és necessari fer una ponderació en cada cas concret per poder determinar la prevalença o no de l'interès legítim. Aquesta ponderació haurà de tenir en compte no només la incidència del tractament en els drets i llibertats de l'afectat, sinó també en els seus propis interessos. L'RGPD exigeix que aquesta ponderació sigui especialment qualificada quan l'afectat sigui un menor.
L'RGPD reforça algunes de les garanties per al tractament de dades personals quan la seva base jurídica sigui l'interès legítim. Així, en relació amb el deure d'informar l'interessat sobre el tractament de les dades, exigeix no només que s'indiqui l'interès legítim com a base jurídica del tractament de què ha d'informar-se en qualsevol cas, sinó, a més, que s'especifiquin els interessos legítims concrets del responsable o del tercer que el fan, tant si les dades s'han obtingut de l'afectat com si no ha estat així (art. 13.1.d i 14.2.b).
Addicionalment, l'RGPD reforça el dret a oposar-se en qualsevol moment al tractament de dades personals per motius relacionats amb la situació personal, quan la seva base jurídica sigui l'interès legítim, i estableix que el responsable deixarà de tractar les dades personals llevat que acrediti «motius legítims imperiosos» que prevalguin sobre els interessos, els drets i llibertats de l'afectat (art. 21.1).
Els considerants 47-49 recullen alguns aclariments sobre aquesta base jurídica.
El considerant 47 aclareix que l'interès legítim pot ser una base jurídica no només del responsable que tracta les dades, sinó també d'un responsable del tractament a què es puguin comunicar les dades personals.
Així mateix, estableix un punt de partida sobre la ponderació, a què anteriorment es va fer referència, en relacionar-la amb les expectatives raonables dels afectats basades en la seva relació amb el responsable del tractament, i esmenta com a exemples les situacions en què l'afectat és client o està al servei del responsable.
No obstant això, exigeix que s'avaluï meticulosament la ponderació, fins i tot si l'afectat pot preveure de manera raonable, en el moment i en el context de la recollida de les dades personals, que pot produir-se un tractament per a una determinada finalitat.
En particular, el Reglament assenyala que cal apreciar la prevalença dels interessos i els drets de l'afectat quan es tractin les seves dades en circumstàncies en què no esperi raonablement que se'n faci un tractament ulterior (p. ex. cessions ulteriors de les dades).
Els considerants esmentats recullen alguns exemples d'interessos legítims, encara que sense considerar-los per si mateixos com a prevalents. Se n'esmenten els següents, entre altres:
- La prevenció del frau, sempre que es compleixi el principi de minimització (considerant 47)
- El màrqueting directe (considerant 47)
- Les transmissions de dades en grups d'empreses per a fins administratius interns, com pot ser la centralització de dades de clients o empleats (considerant 48)
- Les transmissions de dades per garantir la seguretat de les xarxes (p.ex. als equips de resposta a emergències informàtiques –CERT– o de resposta a incidents de seguretat informàtica –CSIRT–), per impedir l'accés no autoritzat a les xarxes de comunicacions electròniques i la distribució malintencionada de codis, i frenar atacs de «denegació de servei» i danys als sistemes informàtics i de comunicacions electròniques (considerant 49)
Finalment, el Reglament estableix que l'interès legítim no pot ser una base jurídica aplicable als tractaments duits a terme per les autoritats públiques en l'exercici de les seves funcions, en assenyalar que és el mateix legislador el que ha d'establir per llei la base jurídica per al tractament de dades per part de les autoritats públiques, per la qual cosa l'interès legítim no ha d'aplicar-se al tractament que duen a terme ells en l'exercici de les seves funcions.