Parlare del “legittimo interesse” è utile, ed addirittura necessario in quanto la
nozione è assai scivolosa. Solo nell’anno in corso, non meno di 6 provvedimenti del Garante la chiamano in causa dal gennaio del 2023 ad oggi, dunque c’è qualche criticità.
Il legittimo interesse infatti ha un ruolo molto importante tra le coperture giuridiche legittimanti i trattamenti dei dati personali, configurandosi come strumento residuale di legittimazione dei trattamenti ai quali non sembra possibile trovare altrimenti una
copertura giuridica. Lo ha suggerito anche Guido Scorza in un contributo su
AgendaDigitale sulle conseguenze della maxi multa irrogata a Meta per aver fornito copertura giuridica alla profilazione sottesa all’invio ai suoi utenti di pubblicità targettizzata sulla base dell’obbligo contrattuale, ai sensi dell’art. 6.1 lettera b del GDPR. Contributo che emerge per la chiarezza di esposizione, la limpidezza dell’iter logico e la lucidità delle argomentazioni.
Ecco perché è necessario scongiurare il pericolo che la nozione scivolosa di legittimo interesse diventi un passepartout per trattamenti non legittimabili alla luce delle altre basi giuridiche elencate dall’art. 6.1 del GDPR
Indice degli argomenti
Perché parlare di “legittimo interesse” è utile
Il Garante Italiano ha dedicato alla nozione di “legittimo interesse” delle Linee Guida. Ad esse tuttavia non si è data l’evidenza che meritavano e meritano. Probabilmente poiché esse sono incorporate in un provvedimento del 22 febbraio 2018 dedicato anche ad altri aspetti rilevanti del GDPR.
Il risultato di tutto questo è che mi interrogo spesso sulla nozione di questo istituto del GDPR. Gli imprenditori sono a loro volta ingolositi dalla possibilità di avvalersene per legittimare i trattamenti dei quali sono titolari, ma si trovano quasi sempre avviluppati nella sensazione di trovarsi di fronte a qualcosa di estremamente scivoloso.
Le Linee Guida del Garante: il legittimo interesse
Il perimetro della nozione di “legittimo interesse” del titolare o del terzo a svolgere un
determinato trattamento, ai sensi dell’art. 6.1 lettera f del GDPR, si riferisce a quando detto trattamento non goda di una delle coperture giuridiche indicate dalle lettere
precedenti alla f del 1° comma della medesima norma (obbligo contrattuale,
consenso, obbligo di legge eccetera).
I principi generali
In questa luce, spetta esclusivamente al titolare del trattamento valutare se, in concreto, esista un suo “legittimo interesse” a svolgere il trattamento stesso.
Questa valutazione può concludersi in senso positivo solo ove non esistano prevalenti interessi/diritti/libertà fondamentali del titolare dei dati (di ciascuno di noi in linea di principio), anche alla luce delle ragionevoli aspettative che, di nuovo, ciascuno di noi può avere a che i suoi dati non vengano trattati sulla base della relazione esistente o non esistente con il titolare dell’eventuale trattamento.
Esemplificando, un “legittimo interesse” può rinvenirsi laddove il titolare dei dati sia
un dipendente od un cliente del titolare del trattamento sotto analisi. Ovvero ancora
quando all’interno di un gruppo di Società, diversi titolari si tramettano i dati a fini
amministrativi/gestionali.
Il bilanciamento da operare tra il “legittimo interesse” e gli altri
Il bilanciamento tra il “legittimo interesse” e gli interessi/diritti/libertà fondamentali dei titolari dei dati deve essere sempre compiuto avendo un occhio di riguardo per i secondi, in modo tale da scongiurare il pericolo che la nozione di “legittimo interesse” diventi un passepartout per trattamenti non legittimabili alla luce delle altre basi giuridiche elencate dall’art. 6.1 del GDPR.
Il Garante, a titolo esemplificativo, ha ritenuto che il “legittimo interesse” puòn configurarsi quando vi sia necessità di porre in essere una videosorveglianza da parte di soggetti privati, di utilizzare strumenti antifrode, di ricorrere a sistemi di geolocalizzazione nell’ambito di flotte aziendali.
I criteri di salvaguardia
Prescindendo dagli esempi (che possono essere fuorvianti) i criteri di salvaguardia dallo svolgimento di trattamenti “malamente” coperti dal “legittimo interesse” possono essere i seguenti:
- il trattamento non deve riguardare i dati oggetto dell’art. 9.1 del GDPR (i così detti dati sensibili, tra i quali gli orientamenti politici/religiosi/sessuali, i dati genetici/biometrici, i dati sulla salute);
- il trattamento non deve riguardare i dati relativi alle condanne penali ed ai reati (oggetto del successivo art. 10);
- il trattamento può essere più idoneamente legittimato sulla base di una delle altre coperture giuridiche oggetto dell’art. 6.1 del GDPR (obbligo contrattuale, consenso, obbligo di legge, esigenza di salvaguardare gli interessi vitali dell’interessato o di un terzo eccetera);
- il “legittimo interesse” può sussistere laddove, oltre al favorevole bilanciamento tra esso ed i diritti/libertà fondamentali/interessi di ciascuno di noi, siano chiaramente individuate le sue finalità, ed esse siano determinate, esplicite, legittime e rispondenti ai principi di proporzionalità e sussidiarietà;
- devono sempre essere garantite, la qualità, l’integrità e l’esattezza dei dati oggetto del trattamento;
- deve essere rigorosamente rispettato il principio di minimizzazione dei dati, cosicché essi siano sempre pertinenti, adeguati e limitati alla luce delle finalità del trattamento;
- deve essere sempre garantito il più alto standard di sicurezza del trattamento, in termini di integrità, inviolabilità e resilienza da attacchi alla luce dei rischi posti dal trattamento stesso per gli interessi/diritti/libertà fondamentali delle persone;
- deve sempre essere svolta una valutazione di impatto del trattamento, prima del suo svolgimento, ricordando che ove il risultato della stessa evidenzi un rischio residuo elevato, si dovrà consultare preventivamente il garante (ai sensi dell’art 36 del GDPR).
L’informativa
Alla luce di quanto sopra, è imprescindibile che il trattamento svolto sulla base del
“legittimo interesse” del titolare o di un terzo sia ispirato a correttezza e trasparenza.
Particolare cura, dunque, dovrà essere posta alla redazione della relativa informativa: la quale dovrà essere particolarmente chiara ed esplicita, sia quanto alla sussistenza di un “legittimo interesse”, sia quanto alla inequivoca individuazione concreta del medesimo.
Ed a questo riguardo, è importante aggiungere che, per rendere tale informativa adeguata, potrà essere utile corredarla di alcune parti della valutazione di impatto, così come delle considerazioni alla base del bilanciamento tra il “legittimo interesse” ed i diritti/interessi/libertà fondamentali dell’interessato.
Anche il formato e la struttura dell’informativa dovranno essere oggetto di attenta valutazione al fine di ottimizzarne l’attitudine a rendere gli interessati consapevoli delle peculiarità del trattamento dei loro dati per “legittimo interesse” del titolare o di un terzo. E così potranno di volta in volta prendersi in considerazione informative strutturate su più livelli, corredate da finestre pop up e/o da icone standardizzate.
