le linee guida

Legittimo interesse nel trattamento dati: la nuova roadmap EDPB

Home Sicurezza digitale Privacy
Indirizzo copiato

L’EDPB ha rilasciato le Linee Guida 01/2024, aggiornando il parere sulla nozione di legittimo interesse. Le linee guida evidenziano l’importanza di un’analisi scrupolosa nel bilanciare il legittimo interesse con i diritti degli interessati, promuovendo un approccio documentato e trasparente

Pubblicato il 11 ott 2024
Marina Rita Carbone

Consulente privacy

gdpr (1)

L’EDPB, Il Comitato europeo per la Protezione dei Dati, ha pubblicato le nuove linee guida 01/2024 sul trattamento dei dati personali necessari per il perseguimento dei legittimi interessi del titolare del trattamento o di terzi (base giuridica prevista all’art. 6 par. 1 lett. f) del GDPR), in aggiornamento del Parere 06/2014 sulla nozione di interessi legittimi del titolare del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE reso dal WP29.

Sul documento è attualmente aperta la fase di consultazione pubblica, nella quale l’EDPB concede a tutti gli stakeholders la facoltà di formulare osservazioni, entro il termine del 20 novembre 2024.

Come valutare il legittimo interesse nel trattamento dei dati personali

Procediamo con una sintetica disamina dei punti fondamentali delle Linee Guida, con focus sul processo di valutazione del legittimo interesse.

Il legittimo interesse come base giuridica

Come noto, l’art. 6 par. 1 lett. f) del GDPR riconosce la possibilità di fondare il trattamento anche su un “interesse legittimo” del titolare del trattamento o di un terzo, ponendo al contempo l’accento sulla necessità di un equilibrio tra l’interesse del titolare e i diritti e le libertà fondamentali (vediamo, infatti, come la norma apponga una condizione: “che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”).

L’EDPB evidenza, già nelle premesse del documento esaminato, come il legittimo interesse non debba essere considerato come una soluzione di comodo o una scelta preferenziale rispetto ad altre basi giuridiche, ma debba essere utilizzato solo laddove sia adeguato e giustificato. I titolari del trattamento, in conformità al generale principio di accountability che governa la normativa sui dati, devono quindi effettuare un’analisi accurata e documentata prima di decidere se utilizzare detta base giuridica, operando un bilanciamento fra gli interessi dallo stesso perseguiti e i diritti e le libertà degli interessati che sono coinvolti nel trattamento esaminato.

I tre criteri per invocare l’articolo 6(1)(f) del GDPR

Per poter fondare il trattamento sull’interesse legittimo, le linee guida precisano che devono essere soddisfatte tre condizioni cumulative (confermate anche dalla giurisprudenza della Corte di Giustizia Europea formatasi sul tema):

  • Pursuit of a legitimate interest: il titolare del trattamento o un terzo devono perseguire un interesse legittimo. Viene ribadito che l’interesse legittimo è qualcosa di distinto dalla finalità del trattamento: “una “finalità” è la ragione specifica per cui i dati vengono elaborati: lo scopo o l’intenzione dell’elaborazione dei dati” afferma l’EDPB, “un “interesse”, d’altro canto, è la posta in gioco o il beneficio più ampio che un titolare del trattamento o una terza parte può avere nell’impegnarsi in una specifica attività di elaborazione”. Sebbene non sia fornito dal GDPR un elenco esaustivo, non tutti gli interessi possono essere considerati legittimi; è necessario che siano leciti, reali, chiaramente definiti e attuali. La legittimità dell’interesse è legata anche alla sua conformità alle norme di diritto dell’UE e degli Stati membri, e deve essere espressa in modo preciso e non ipotetico.
  • Necessità del trattamento: il trattamento deve essere strettamente necessario per il perseguimento dell’interesse legittimo identificato. Questo significa che non devono esserci mezzi meno invasivi e altrettanto efficaci per raggiungere lo stesso scopo.
  • Bilanciamento tra interessi contrapposti: i diritti e le libertà fondamentali degli interessati non devono prevalere sugli interessi legittimi del titolare. L’onere di effettuare questo bilanciamento ricade sul titolare del trattamento medesimo, seguendo una metodologia valutativa specifica. Questo implica la necessità di condurre una valutazione caso per caso, considerando il contesto specifico del trattamento e le aspettative ragionevoli degli interessati. Il bilanciamento tra gli interessi deve essere svolto, come ribadito dall’EDPB, prima che le operazioni di trattamento siano poste in essere.

La coesistenza dei suddetti criteri non deve essere ipotetica ma deve confluire all’interno di una valutazione preventiva, svolta con il coinvolgimento del DPO ove presente e, soprattutto, documentata dal titolare, affinché possa dimostrare il rispetto del principio di accountability.

Step 1: l’identificazione del legittimo interesse

Nell’ambito della valutazione effettuata dal titolare, quest’ultimo identifica, in primo luogo, l’interesse da perseguirsi.

Nell’alveo degli interessi legittimi, secondo le linee guida, si includere, ad esempio, la prevenzione delle frodi, la sicurezza delle reti informatiche, il marketing diretto, il miglioramento dei prodotti e la protezione della proprietà. Lo stesso GDPR menziona, a titolo esemplificativo, che il trattamento dei dati personali a fini di prevenzione delle frodi o per finalità di marketing diretto, nonché il trattamento dei dati personali nella misura strettamente necessaria e proporzionata ai fini della garanzia della sicurezza delle reti e dell’informazione, può essere considerato effettuato per un legittimo interesse (cfr. Considerando 47 e 49 del GDPR).

Ciò che conta è che l’interesse perseguito soddisfi i seguenti criteri cumulativi:

  • È legittimo, ossia non contrario al diritto UE o degli stati membri;
  • È articolato in modo chiaro e preciso;
  • È reale, presente alla data di trattamento dei dati e non speculativo, non ipotetico.

L’interesse perseguito può essere, ai sensi di legge, sia proprio del titolare, che di un terzo soggetto. Le linee guida forniscono alcuni utili esempi di interesse di terzo:

  • Accertamento, esercizio o difesa di un diritto in sede giudiziaria (es: una terza parte richiede di ottenere le informazioni personali di un soggetto che ha danneggiato la sua proprietà per citarlo in giudizio);
  • Divulgazione di dati nella persecuzione di finalità di trasparenza e accountability (es: divulgazione dei dati degli stipendi del management aziendale, destinata a dipendenti e azionisti dell’azienda, senza che ciò sia contrattualmente previsto o imposto da una legge);
  • Ricerca scientifica, storica o di altra natura;
  • Interesse pubblico generale o interesse di terzi, quando non rientrano negli interessi pubblici di cui alle lett. e) o c) dell’art. 6 GDPR;

Step 2: la valutazione della necessità del trattamento

Individuato e analizzato l’interesse legittimo, il titolare deve valutare la necessità del trattamento, ossia accertare se, nella pratica, gli interessi legittimi perseguiti non possano ragionevolmente essere conseguiti in modo altrettanto efficace con altri mezzi meno restrittivi dei diritti e delle libertà fondamentali degli interessati.

Se esistono alternative ragionevoli, altrettanto efficaci, ma meno invasive, per perseguire quel medesimo obiettivo, il trattamento può non essere considerato “necessario”.

Nelle linee guida viene richiamato, in relazione alla valutazione della necessità del trattamento, quanto stabilito in linea di principio dalla CGUE, la quale ha espressamente affermato che la condizione della necessità del trattamento debba essere esaminata anche congiuntamente al principio di minimizzazione dei dati, che prevede che gli stessi devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

Step 3: il bilanciamento degli interessi

La fase di bilanciamento richiede un’analisi dettagliata dell’impatto del trattamento sui diritti degli interessati, tenendo conto de:

  • La natura dei dati trattati;
  • La sensibilità dei dati (“più la natura dei dati da elaborare è sensibile o privata, più è probabile che l’elaborazione di tali dati abbia un impatto negativo sull’interessato e maggiore peso dovrebbe essere attribuito a tale elaborazione nel test di bilanciamento”);
  • Il contesto specifico in cui avviene il trattamento e in cui i dati sono raccolti (portata del trattamento, quantità di dati personali, status del titolare del trattamento, modalità di elaborazione dei dati);
  • Eventuali ulteriori conseguenze del trattamento (diffamazione, perdite finanziarie, esclusione da servizi essenziali, rischi per la sicurezza fisica e mentale, impatto del trattamento su decisioni di terzi);
  • Le aspettative dell’interessato (ad esempio, i dipendenti potrebbero avere aspettative diverse rispetto ai clienti di un’azienda in merito al trattamento dei loro dati personali). Anche la trasparenza è un elemento essenziale nella stima delle aspettative, in quanto facilita l’esercizio dei diritti da parte degli interessati e contribuisce a stabilire un rapporto di fiducia tra titolare e interessato, riducendo il rischio di percezioni negative da parte degli interessati.

Lo scopo del bilanciamento, affermano le linee guida, non è comunque quello di evitare del tutto qualsiasi impatto sugli interessi e i diritti degli interessati, ma di evitare che detto impatto sia sproporzionato, valutandone il peso sulla scorta degli elementi suindicati.

I diritti e le libertà fondamentali da porre sul lato della bilancia, insieme al legittimo interesse perseguito dal titolare, includono “il diritto alla protezione dei dati e alla privacy, ma anche altri diritti e libertà fondamentali, come il diritto alla libertà e alla sicurezza, la libertà di espressione e di informazione, la libertà di pensiero, di coscienza e di religione, la libertà di riunione e di associazione, il divieto di discriminazione, il diritto di proprietà o il diritto all’integrità fisica e mentale, che possono essere interessati dal trattamento, direttamente o indirettamente” ma anche, in generale, interessi finanziari, sociali o personali.

Nell’effettuare questa valutazione, affermano le linee guida, “il titolare del trattamento dovrebbe tenere presente che il GDPR gli richiede già di attuare misure, by design, al fine di limitare il trattamento dei dati personali e il suo impatto sugli interessati solo a quanto necessario per lo scopo specificato perseguito (vedere in particolare gli articoli 5 e 25 del GDPR). L’impatto soppesato nel test di bilanciamento dovrebbe quindi già essere l’impatto minimo ai sensi del GDPR, nonostante l’adozione di misure che vanno oltre gli obblighi stabiliti nel GDPR che possono essere applicate come misure di mitigazione”.

Step 4: finalizzazione del test di bilanciamento

Identificato e valutato il legittimo interesse, nonché identificati ed esaminati gli interessi, i diritti e le libertà dei soggetti interessati dal trattamento, l’impatto del trattamento e le ragionevoli aspettative dell’interessato stesso, il titolare sarà in grado di valutare se i due lati della bilancia sono equilibrati o se, invece, i diritti degli interessati prevalgono sull’interesse legittimo.

Solo ove l’interesse legittimo prevale sui diritti e le libertà degli interessati, il trattamento potrà aver luogo. In caso contrario, il titolare dovrà valutare l’adozione di ulteriori misure di mitigazione volte a ridurre l’impatto del trattamento.

Tra le misure di mitigazione le linee guida ricomprendono, a titolo esemplificativo, l’introduzione di “ulteriori garanzie al di sopra e al di là delle garanzie richieste ai sensi del GDPR può essere vista come una misura di mitigazione (ad esempio, consentire all’interessato di esercitare il diritto alla cancellazione anche quando non si applicano i motivi specifici elencati nell’articolo 17(1) del GDPR, consentire all’interessato di esercitare il diritto di opposizione senza alcuna delle limitazioni di cui all’articolo 21 del GDPR, consentire all’interessato di esercitare il diritto alla portabilità dei dati anche quando il trattamento è basato sull’articolo 6(1)(f), ecc.)”

Considerazioni finali

L’utilizzo della base giuridica del legittimo interesse, lungi dall’essere una “soluzione di ripiego” richiede un’attenta valutazione preliminare e un approccio documentato: i titolari devono assicurarsi di poter dimostrare la legittimità del loro interesse e la proporzionalità del trattamento, documentando l’intero processo decisionale, incluso il bilanciamento degli interessi e le considerazioni sulla necessità del trattamento. È raccomandata la consultazione del Data Protection Officer (DPO), qualora presente, per garantire un approccio conforme ai requisiti di legge, alle migliori prassi, oltre che trasparente.

La scelta di questa base giuridica deve essere sempre motivata da un interesse legittimo reale e presente, garantendo un equilibrio tra le necessità del titolare e la tutela dei diritti degli interessati.

In questo contesto, le Linee Guida 1/2024 dell’EDPB, fornendo un prezioso aggiornamento di quanto contenuto nei precedenti pareri del WP29, rappresentano uno strumento fondamentale per i titolari del trattamento: esse ribadiscono l’importanza, ai fini del rispetto del principio di accountability, delle circostanze specifiche del trattamento, del contesto normativo e delle aspettative degli interessati. Elementi fondamentali per poter valutare, a cascata, anche l’adeguatezza delle misure di sicurezza implementate.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Marina Rita Carbone
Consulente privacy
Seguimi su

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • approfondimento

    Come si digitalizza una stalla? Ecco in che modo la filiera zootecnica si innova

    01 Lug 2024

    di Antonio Picasso

    Condividi

Prossimo

Come si digitalizza una stalla? Ecco in che modo la filiera zootecnica si innova

Articolo 1 di 2