Il Regolamento (UE) n. 2016/679 (conosciuto come GDPR) ha introdotto il concetto di “legittimo interesse” del titolare quale base giuridica su cui valutare la liceità delle operazioni di trattamento di dati personali.
Si tratta di un concetto nuovo per il nostro ordinamento che consente di considerare legittimo il trattamento dei dati oltre che nelle ipotesi già previste dal Codice per la protezione dei dati personali (d.l.vo n, 196/2003) anche qualora lo stesso sia effettuato per perseguire uno scopo legittimo del titolare a condizione che non siano prevalenti su tale scopo gli interessi o i diritti e le libertà fondamentali dell’interessato (art. 6, 1° comma, lett. f).
Il perseguimento di un legittimo interesse si pone come base giuridica alternativa alle altre previste nell’art. 6 del GDPR. Il titolare che abbia un legittimo interesse può procedere al trattamento anche in assenza del consenso da parte dell’interessato, di un rapporto contrattuale (o di misure precontrattuali), di obblighi legali, di esigenze di salvaguardia di interessi vitali dell’interessato o di altra persona fisica, di esercizio di poteri pubblici.
Trattandosi di un nuovo istituto appare utile, per comprenderne la portata e le modalità di attuazione, rifarsi ai “considerando” contenuti nel GDPR che espressamente menzionano le ragioni per cui è stato introdotto e propongono esempi concreti di sua applicazione.
In particolare, il considerando n. 47 del GDPR chiarisce che per la valutazione della sussistenza di un legittimo interesse del titolare deve innanzitutto tenersi conto delle “ragionevoli aspettative dell’interessato in base alla sua relazione con il titolare del trattamento”. Tale valutazione, che nell’impostazione del Regolamento Europeo è svolta autonomamente dal titolare, deve quindi basarsi su ciò che l’interessato potrebbe ragionevolmente attendersi rispetto al trattamento dei propri dati da parte del titolare con cui abbia rapporti (o venga in contatto).
Gli esempi
Il GDPR elenca anche alcuni esempi di legittimo interesse, tra cui il rapporto tra cliente/fornitore o tra datore di lavoro e dipendente, situazioni in cui è evidente che l’interessato non può non aspettarsi che venga effettuato il trattamento dei propri dati personali proprio per la necessità di perseguire legittimi interessi. Il considerando in esame espressamente prevede anche che “Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.
Proprio tale ultima frase sta ingenerando non poca confusione tra gli operatori del settore e da più parti si leggono commenti secondo cui non sarebbe più necessario acquisire il consenso degli interessati per attività di marketing diretto, in quanto, appunto, il legittimo interesse del titolare costituirebbe oramai la base giuridica per lo svolgimento di tale attività.
In realtà deve da subito precisarsi che detta interpretazione non può essere considerata corretta e ciò almeno fino a quando resterà in vigore la direttiva 2002/58/CE (cd. direttiva e-Privacy) che disciplina specificamente il trattamento dei dati personali nel settore delle comunicazioni elettroniche.
La semplice menzione, da parte del considerando n. 47 delle finalità di marketing diretto quale attività che può essere considerata legittimo interesse del titolare, quindi ipoteticamente idonea a far venir meno la necessità di acquisire il consenso dell’interessato, deve essere letta sia alla luce di quanto chiarito nel medesimo considerando sia tenendo in considerazione il rapporto tra il GDPR e la direttiva sopra menzionata.
L’art. 95 del Regolamento, infatti, prevede che il GDPR
“non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE“.
Il rapporto tra le due norme di rango comunitario è preso in considerazione anche dal considerando n. 173, che, nel chiarire appunto la “neutralità” del GDPR rispetto agli obblighi specifici previsti dalla direttiva e-Privacy, espressamente dichiara la necessità di riesaminare la disciplina dettata da tale direttiva per assicurarne la coerenza con il GDPR, riesame che in realtà è già in atto avendo presentato la Commissione Europea, nel gennaio 2017, una proposta di regolamentazione specifica della materia (cd. Regolamento e-Privacy).
La direttiva e-Privacy, che pertanto rimane applicabile anche dopo l’entrata in vigore del GDPR, è stata recepita nel nostro ordinamento nel Titolo X del Codice per la protezione dei dati personali.
Con specifico riferimento all’attività di marketing diretto sono quindi applicabili tuttora (ed anche successivamente al 25 maggio 2018, data in cui diventerà efficace il GDPR) le regole dettate dall’art. 130 del d.l.vo n. 196/2003, secondo cui:
- per l’utilizzo di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale rimane necessario acquisire il consenso del contraente o utente (anche persone giuridiche) e ciò anche se effettuate mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo;
- qualora non vengano utilizzati sistemi automatizzati l’attività di direct marketing (mediante l’impiego del telefono o della posta cartacea) è consentita solo nei confronti di coloro che non abbiano esercitato il diritto di opposizione tramite iscrizione all’apposito registro (disciplina destinata ad essere modificata quando verrà definitivamente approvato il disegno di legge che detta nuove disposizioni in materia di iscrizione e funzionamento del registro delle opposizioni);
- il consenso non è necessario quando il titolare, a fini di vendita diretta di propri prodotti o servizi, utilizza le coordinate di posta elettronica raccolte dall’interessato nel contesto della vendita di un prodotto o di un servizio, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e non vi sia il rifiuto da parte dell’interessato a tale uso, inizialmente o in occasione di successive comunicazioni. In ogni comunicazione deve essere data l’informazione della possibilità di opporsi in ogni momento al trattamento (cd. opt out).
In relazione alla disciplina del legittimo interesse è necessario altresì evidenziare che il nostro legislatore con la recente legge di bilancio 2018 (legge n. 205 del 27 dicembre 2017) ha introdotto una particolare procedura di previa comunicazione al Garante.
Il comma 1022 dell’art. 1 della legge di bilancio 2018 stabilisce che il trattamento fondato sull’interesse legittimo che preveda l’uso di nuove tecnologie o strumenti automatizzati deve essere previamente comunicato al Garante per la protezione dei dati personali (attraverso un apposito modello che sarà reso disponibile dallo stesso). In assenza di risposta da parte dell’autorità di controllo entro quindici giorni dalla comunicazione il titolare può procedere al trattamento. Il Garante da parte sua, qualora ravvisi il rischio di una lesione dei diritti e delle libertà degli interessati, può disporre una moratoria del trattamento per un massimo di trenta giorni, chiedendo informazioni ed integrazioni, e disporre l’inibitoria al trattamento dei dati nel caso in cui ravvisi comunque una lesione dei diritti e delle libertà degli interessati.
Pertanto, nel nostro ordinamento è stata prevista un’apposita disciplina per procedere al trattamento fondato su un legittimo interesse del titolare, mentre il GDPR nulla prevede in merito demandando la valutazione interamente al titolare del trattamento. Tale obbligo di informazione si fonda sugli ampi poteri demandati dal GDPR alle autorità di controllo ed in particolare a quanto previsto nel considerando n. 89 circa la possibilità di introdurre procedure di informazione preventiva.
Concludendo, quindi, nell’ambito delle attività di marketing diretto il combinato disposto delle previsioni del GDPR, della direttiva n. 2002/58/CE e della procedura di previa informazione stabilita dalla nuova legge di bilancio 2018 fanno ritenere che il legittimo interesse quale base giuridica del trattamento troverà scarsa applicazione.
Ciò in quanto il titolare che voglia fondare il trattamento su tale requisito dovrà previamente comunicare al Garante tale volontà, descrivendo l’oggetto, le finalità ed il contesto del trattamento ed attendere il termine di quindici (salvo richiesta di integrazioni da parte del Garante) per poter avviare le operazioni.
Qualora poi l’attività di marketing diretto venga svolta con strumenti di comunicazione elettronica, restano (per ora) ferme le previsioni di cui all’art. 130 del Codice per la protezione dei dati personali (che in linea generale richiedono il consenso per il trattamento).
In pratica, quindi, il meccanismo del legittimo interesse sarà utilizzabile unicamente per attività di marketing diretto non coperte dalla previsione dalla disciplina del Codice, quindi in casi molto ristretti, e dovrà comunque essere preceduto dalla procedura di informativa prevista nella nuova legge di bilancio 2018.
PER VEDERE IL VIDEO CLICCA QUI
