Il legittimo interesse è una delle basi giuridiche previste dal GDPR su cui può fondarsi il trattamento dei dati personali. L’utilizzo di tale base giuridica presuppone che gli interessi (commerciali, sicurezza dei beni, ecc.) perseguiti dall’ente che tratta i dati, non creino uno squilibrio a danno dei diritti e degli interessi dei soggetti i cui dati vengono trattati.
Per basare il trattamento sui suoi legittimi interessi, l’organizzazione che tratta i dati deve soddisfare determinati requisiti. Deve soppesare il suo interesse con gli “interessi o diritti e libertà fondamentali delle persone” e deve anche incorporare le “ragionevoli aspettative” di queste persone. Tale “bilanciamento” dei diritti e degli interessi in questione deve essere effettuato per ogni trattamento basato sul legittimo interesse, tenuto conto delle condizioni concrete della sua attuazione.
Il legittimo interesse non può quindi essere considerato una base giuridica “inadempiente”: al contrario, richiede un attento esame da parte dell’organizzazione e il monitoraggio di una rigorosa metodologia.
Chi può essere interessato dalla base giuridica del “legittimo interesse”?
Il legittimo interesse è una delle 6 basi giuridiche previste dal GDPR, che autorizza l’attuazione del trattamento dei dati personali. Può essere la base del trattamento necessario per soddisfare gli interessi del titolare del trattamento o di terzi, fermo restando il rispetto di determinate condizioni.
Tale base giuridica riguarda i trattamenti effettuati da enti privati che non ledono significativamente i diritti e gli interessi degli interessati.
Inoltre, il GDPR prevede che un legittimo interesse non possa costituire la base giuridica del trattamento posto in essere da un’autorità pubblica nello svolgimento dei propri compiti. Le autorità pubbliche devono quindi basarsi su altre basi giuridiche in via prioritaria.
A quali condizioni il legittimo interesse può costituire la base giuridica del trattamento?
Il ricorso all’interesse legittimo per stabilire legalmente il trattamento è soggetto a 3 condizioni:
- l’interesse perseguito dall’organizzazione deve essere “legittimo”
Questa condizione, spesso di buon senso, non è la più problematica. Non esiste un elenco esaustivo di interessi ritenuti legittimi, ma il GDPR e la giurisprudenza forniscono esempi. Questa base giuridica può essere considerata ad esempio per il trattamento dei dati:
- volte a garantire la sicurezza della rete e delle informazioni;
- implementato a fini di prevenzione delle frodi;
- necessario per le operazioni di prospezione commerciale con i clienti di una società;
- relative a clienti o dipendenti di un gruppo di società ai fini della gestione amministrativa interna.
Al di là di questi esempi, si può presumere la natura “legittima” dell’interesse perseguito da un’organizzazione se sono soddisfatte le seguenti 3 condizioni:
- l’interesse è manifestamente legittimo;
- è determinato in modo sufficientemente chiaro e preciso;
- è reale e presente per l’organizzazione interessata e non fittizia.
- il legittimo interesse può essere mantenuto solo se il trattamento soddisfa la condizione di “necessità”
La condizione di necessità non è specifica di questa base giuridica. L’organizzazione deve verificare che il trattamento dei dati da essa previsto, raggiunga effettivamente la finalità perseguita e non, in realtà, altre finalità. Deve inoltre garantire che non vi siano mezzi meno invasivi per la privacy per raggiungere tale obiettivo, rispetto all’attuazione del trattamento previsto (ad esempio un dispositivo che non tratti dati personali, o un diverso trattamento più protettivo della privacy). Il responsabile del trattamento deve essere in grado di dimostrare la validità dell’uso di questa base giuridica.
Qualsiasi modifica significativa delle condizioni di attuazione del trattamento (finalità, dati, periodi di conservazione, ecc.) è tale da incidere sulla validità della base giuridica conservata: la procedura di valutazione di tale validità deve pertanto, in tal caso, essere ripetuto.
- il trattamento non deve essere in contrasto con i diritti e gli interessi delle persone i cui dati sono trattati, tenuto conto delle loro ragionevoli aspettative
La gestione di questa condizione è più complessa. Secondo il GDPR, il trattamento non può essere effettuato se “gli interessi o i diritti fondamentali dell’interessato che richiedono la protezione dei dati personali”, prevalgono sugli interessi dell’organizzazione.
L’organismo deve quindi effettuare un equilibrio, una ponderazione tra i diritti e gli interessi in questione, e verificare in tale contesto che gli interessi (commerciali, sicurezza dei beni, lotta alle frodi, ecc.) che persegue, non creino uno squilibrio o una lesione dei diritti e degli interessi dei soggetti i cui dati sono trattati.
In concreto, l’organizzazione deve innanzitutto individuare le conseguenze di ogni genere che il suo trattamento può avere sugli interessati: sulla loro riservatezza ma anche, più in generale, su tutti i diritti e gli interessi coperti dalla protezione dei dati personali. Si tratta quindi di valutare il grado di intrusione del previsto trattamento nell’ambito individuale, misurandone l’impatto sulla privacy delle persone fisiche (trattamento di dati sensibili, trattamento di persone vulnerabili, profilazione, ecc.) e sugli altri loro fondamentali diritti (libertà di espressione, libertà di informazione, libertà di coscienza, ecc.) nonché gli altri impatti concreti del trattamento sulla loro situazione (monitoraggio o sorveglianza delle loro attività o movimenti, esclusione dall’accesso ai servizi, ecc.).
Tali impatti devono essere misurati al fine di determinare, caso per caso, l’entità dell’intrusione causata dal trattamento nella vita delle persone.
L’organizzazione deve poi tener conto, nel bilanciamento tra il proprio legittimo interesse e i diritti e gli interessi dei singoli, delle loro “ragionevoli aspettative”. Questa considerazione è essenziale quando si parla di trattamenti attuabili senza il preventivo consenso delle persone fisiche: in assenza di un atto positivo ed esplicito da parte loro, il legittimo interesse richiede di non sorprendere le persone nelle modalità di attuazione, nonché nelle conseguenze del trattamento. Un buon test, quando un’organizzazione prevede di basare il proprio trattamento sull’interesse legittimo, consiste quindi nel verificare che il trattamento rientri nell’ambito di tali aspettative: la manifestazione di un interesse legittimo sarà più facile per un dispositivo ragionevolmente prevedibile, in un determinato contesto (ad esempio, realizzare azioni di fidelizzazione di persone che sono già clienti dell’azienda), solo per trattamenti divergenti dalle aspettative delle persone.
Infine, l’organizzazione può prevedere misure compensative o aggiuntive da porre in essere al fine di limitare l’impatto del trattamento sulle persone interessate e raggiungere così un equilibrio tra i diritti e gli interessi coinvolti. Ad esempio, per il trattamento mirato dei comportamenti di acquisto online delle persone, che potrebbero rivelare molte preferenze e abitudini che incidono sulla loro privacy, può essere previsto un diritto di opposizione incondizionato per le persone, al fine di consentire loro di porre fine alla profilazione intrusiva a cui sono sottoposti.
Saperne di più
Al fine di valutare la validità del legittimo interesse quale base giuridica del trattamento previsto, si dovrebbe applicare la seguente metodologia:
- individuazione della natura “legittima” dell’interesse perseguito dal titolare e verifica della natura “necessaria” del trattamento in vista di tale finalità;
- valutazione delle violazioni degli interessi e dei diritti e delle libertà delle persone e considerazione delle loro ragionevoli aspettative;
- soppesare questi elementi e, se necessario, prevedere misure aggiuntive.
Tale approccio deve essere seguito in tutti i casi, compresi quelli in cui è manifesta la natura legittima dell’interesse perseguito dal titolare del trattamento.
I seguenti sviluppi possono guidare il titolare del trattamento nel seguire questa metodologia.
Quali sono i diritti, le libertà e gli interessi delle persone di cui tenere conto
Il testo: il trattamento può essere basato sul legittimo interesse dell’ente che tratta i dati, ” salvo interessi o diritti e libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare quando l’interessato è un minore” (art. 6.1.f) del GDPR).
Nell’ambito del bilanciamento dei diritti e degli interessi in questione, il titolare del trattamento deve esaminare se il trattamento previsto violi:
- il diritto alla protezione dei dati e alla privacy;
Non si tratta, nell’ambito di questo esame, di garantire il rispetto delle specifiche disposizioni del GDPR: l’organizzazione deve piuttosto assicurare l’assenza di violazione manifesta del contenuto essenziale, la sostanza stessa di tali diritti. Si tratta quindi di tener conto dei principi cardine del GDPR e delle sue principali linee di forza.
Ad esempio, il trattamento di dati relativi a minori, l’attuazione di trattamenti massivi o relativi a dati sensibili, il mancato controllo delle persone fisiche sui propri dati, costituiscono indizi di un rischio di grave lesione del diritto alla protezione.
- altri diritti fondamentali, come la libertà di pensiero, di coscienza e di religione, la libertà di espressione e di informazione, la libertà di riunione e di associazione, il diritto di proprietà, il diritto di asilo, i diritti dei bambini e degli anziani, i diritti sociali, i diritti di cittadinanza, ecc.;
Ad esempio, il trattamento dei dati che ha l’effetto, per gli interessati, di limitare il loro accesso a informazioni essenziali, come certi discorsi politici, viola chiaramente la loro libertà di informazione.
- nell’interesse delle persone, vale a dire per esaminare se il trattamento incida sulla loro situazione particolare, al di là del suo possibile impatto sui loro diritti, come la loro situazione fisica, economica o sociale.
Ad esempio, l’interesse delle persone fisiche può prevalere sul legittimo interesse del titolare del trattamento se quest’ultimo causa loro un danno patrimoniale o li priva dell’accesso a un servizio essenziale.
Come prendi in considerazione le ragionevoli aspettative delle persone?
Il testo: “l’esistenza di un interesse legittimo dovrebbe essere attentamente valutata, in particolare per determinare se un interessato può ragionevolmente aspettarsi, al momento e nell’ambito della raccolta di dati personali, che siano trattati per una determinata finalità. Gli interessi e i diritti fondamentali dell’interessato potrebbero, in particolare, prevalere sull’interesse del titolare del trattamento quando i dati personali sono trattati in circostanze in cui gli interessati non si aspettano ragionevolmente un ulteriore trattamento” (considerando (47) GDPR).
Le ragionevoli aspettative dei singoli non devono essere confuse con le informazioni che, in applicazione del principio di trasparenza, vengono necessariamente portate alla loro conoscenza . Questo è ciò che una persona può legittimamente aspettarsi in relazione al trattamento dei propri dati, nella situazione dell’interessato e in base al contesto della raccolta. Ciò significa, in pratica, che il trattamento non deve sorprendere le persone i cui dati vengono trattati, ad esempio essendo totalmente estraneo alla finalità perseguita o al servizio reso.
Ad esempio, la “promessa di servizio” di un social network è quella di connettere le persone e non di profilarle per inviare loro pubblicità personalizzata.
Tali ragionevoli aspettative devono essere tenute in considerazione dal titolare del trattamento nel soppesare i diritti e gli interessi in questione: esse costituiscono elemento di contesto nella valutazione degli elementi presenti. Quanto più il trattamento rientra in tali ragionevoli aspettative, tanto più il legittimo interesse del titolare può fondare validamente la sua attuazione; quanto più il trattamento si discosta da tali aspettative, tanto più gli interessi e i diritti delle persone saranno chiamati a prevalere sull’interesse dell’organizzazione.
Cosa fare in caso di squilibrio tra gli interessi ei diritti in questione: quali misure compensative dovrebbero essere adottate?
In caso di violazione dei diritti e degli interessi delle persone fisiche o di discordanza con le loro ragionevoli aspettative, l’ente che intenda porre in essere il trattamento dei dati non può, così com’è, avvalersi della base giuridica del legittimo interesse.
In tal caso, il titolare del trattamento deve prevedere misure “compensative” al fine di limitare l’impatto del trattamento sugli interessati e raggiungere così un equilibrio tra i diritti e gli interessi coinvolti. Solo un tale equilibrio consente di convalidare l’uso dell’interesse legittimo come base giuridica per il trattamento pianificato.
Tali misure compensative o accessorie non devono essere confuse con misure per ottemperare al GDPR: il rispetto di tali disposizioni è imperativo, indipendentemente dalla base giuridica del trattamento.
Ad esempio, garantire che le persone siano informate , a condizioni coerenti con il principio di trasparenza, o consentire alle persone di opporsi non costituiscono tali misure aggiuntive.
Per quanto riguarda l’impatto del trattamento sulla privacy, le misure compensative consistono in obblighi di mezzi adempiuti in maniera “a premio”, il più possibile, o in garanzie aggiuntive rispetto a quanto previsto dal GDPR. Devono riguardare i principali rischi di lesione degli interessi, dei diritti e delle libertà precedentemente individuati dal titolare del trattamento e possono quindi mirare anche a limitare impatti che non riguardano la privacy in senso stretto.
Ad esempio: se il rischio individuato dall’organizzazione riguarda il controllo delle persone sui propri dati, l’implementazione di “dashboard” che consentono loro di gestire le proprie preferenze ed esercitare i propri diritti, oppure consentono loro di opporsi al trattamento dei propri dati senza addurre alcun motivo particolare, possono costituire tali misure aggiuntive.
Altri esempi: pseudonimizzazione o anonimizzazione in caso di dati fini e numerosi non strettamente necessari; l’istituzione di un comitato etico per controllare i possibili effetti negativi dell’uso di algoritmi o in termini di ricerca medica (al di fuori degli obblighi previsti dai testi); l’implementazione di filtri parentali per elaborazioni rivolte ai minori; eccetera.
In caso di squilibrio, il titolare del trattamento deve quindi prevedere tali misure compensative e verificare se la loro applicazione realizzi effettivamente un equilibrio tra il suo legittimo interesse e i diritti e gli interessi delle persone interessate dal trattamento che intende attuare. Qualora la ponderazione risulti così equilibrata, può fondare il proprio trattamento sulla base giuridica del legittimo interesse; in caso contrario, deve essere ricercata un’altra base giuridica, come il consenso.
Quali sono le conseguenze della scelta di questa base giuridica?
La base giuridica del “legittimo interesse” ha alcune importanti conseguenze per l’organizzazione che tratta i dati e per le persone interessate dal trattamento.
- Per le organizzazioni che trattano dati: data la complessità della metodologia da seguire per garantire la validità di tale base giuridica, è come buona prassi, che tale metodologia sia documentata dal titolare del trattamento, che in particolare può essergli utile in caso di verifica sulla liceità del trattamento. In ogni caso, tale organizzazione deve essere in grado di dimostrare la validità dell’uso del legittimo interesse quale base giuridica del trattamento.
In pratica, per i trattamenti più comuni, tale metodologia può essere supportata dal Garante, illustrando, nei documenti di riferimento che sta progressivamente pubblicando sulle principali categorie di trattamenti, i casi e le circostanze in cui il ricorso al legittimo interesse è una base valida per i controllori.
- Per le persone fisiche: il diritto alla portabilità non può essere esercitato con riguardo al trattamento basato sul legittimo interesse. Per tale trattamento, invece, è previsto un obbligo di maggiore trasparenza: nelle informazioni portate a conoscenza delle persone deve emergere la natura dell’interesse legittimo perseguito dal titolare del trattamento.
Esempi: in caso di prospezione commerciale di prodotti simili a quelli ordinati dai clienti di un’azienda, l’organizzazione può indicare che l’interesse legittimo perseguito è la promozione dei propri prodotti presso i propri clienti; nel caso di un dispositivo di videosorveglianza sul posto di lavoro di un’organizzazione, il legittimo interesse addotto nelle informative può essere quello di garantire l’incolumità del suo personale e dei suoi beni.
Comments are closed for this article!