GDPR

Legittimo interesse sui dati, sbagliare è facile

Home Sicurezza digitale
Indirizzo copiato

Bisogna scongiurare il pericolo che la nozione scivolosa di legittimo interesse diventi un passepartout per trattamenti non legittimabili alla luce delle altre basi giuridiche elencate dall’art. 6.1 del GDPR. Ecco perché

Pubblicato il 16 ago 2023
Giovanni Ricci

Avvocato presso lo Studio legale Edoardo Ricci – Avvocati

Linee Guida del Garante Privacy: è utile il legittimo interesse del titolare del trattamento

Parlare del “legittimo interesse” è utile, ed addirittura necessario in quanto la
nozione è assai scivolosa. Solo nell’anno in corso, non meno di 6 provvedimenti del Garante la chiamano in causa dal gennaio del 2023 ad oggi, dunque c’è qualche criticità.

Pubblicità online, Scorza: “Ecco i tre scenari dopo la maxi multa a Meta”

Il legittimo interesse infatti ha un ruolo molto importante tra le coperture giuridiche legittimanti i trattamenti dei dati personali, configurandosi come strumento residuale di legittimazione dei trattamenti ai quali non sembra possibile trovare altrimenti una
copertura giuridica. Lo ha suggerito anche Guido Scorza in un contributo su
AgendaDigitale sulle conseguenze della maxi multa irrogata a Meta per aver fornito copertura giuridica alla profilazione sottesa all’invio ai suoi utenti di pubblicità targettizzata sulla base dell’obbligo contrattuale, ai sensi dell’art. 6.1 lettera b del GDPR. Contributo che emerge per la chiarezza di esposizione, la limpidezza dell’iter logico e la lucidità delle argomentazioni.

Ecco perché è necessario scongiurare il pericolo che la nozione scivolosa di legittimo interesse diventi un passepartout per trattamenti non legittimabili alla luce delle altre basi giuridiche elencate dall’art. 6.1 del GDPR

Perché parlare di “legittimo interesse” è utile

Il Garante Italiano ha dedicato alla nozione di “legittimo interesse” delle Linee Guida. Ad esse tuttavia non si è data l’evidenza che meritavano e meritano. Probabilmente poiché esse sono incorporate in un provvedimento del 22 febbraio 2018 dedicato anche ad altri aspetti rilevanti del GDPR.
Il risultato di tutto questo è che mi interrogo spesso sulla nozione di questo istituto del GDPR. Gli imprenditori sono a loro volta ingolositi dalla possibilità di avvalersene per legittimare i trattamenti dei quali sono titolari, ma si trovano quasi sempre avviluppati nella sensazione di trovarsi di fronte a qualcosa di estremamente scivoloso.

Le Linee Guida del Garante: il legittimo interesse

Il perimetro della nozione di “legittimo interesse” del titolare o del terzo a svolgere un
determinato trattamento, ai sensi dell’art. 6.1 lettera f del GDPR, si riferisce a quando detto trattamento non goda di una delle coperture giuridiche indicate dalle lettere
precedenti alla f del 1° comma della medesima norma (obbligo contrattuale,
consenso, obbligo di legge eccetera).

I principi generali

In questa luce, spetta esclusivamente al titolare del trattamento valutare se, in concreto, esista un suo “legittimo interesse” a svolgere il trattamento stesso.
Questa valutazione può concludersi in senso positivo solo ove non esistano prevalenti interessi/diritti/libertà fondamentali del titolare dei dati (di ciascuno di noi in linea di principio), anche alla luce delle ragionevoli aspettative che, di nuovo, ciascuno di noi può avere a che i suoi dati non vengano trattati sulla base della relazione esistente o non esistente con il titolare dell’eventuale trattamento.
Esemplificando, un “legittimo interesse” può rinvenirsi laddove il titolare dei dati sia
un dipendente od un cliente del titolare del trattamento sotto analisi. Ovvero ancora
quando all’interno di un gruppo di Società, diversi titolari si tramettano i dati a fini
amministrativi/gestionali.

Il bilanciamento da operare tra il “legittimo interesse” e gli altri

Il bilanciamento tra il “legittimo interesse” e gli interessi/diritti/libertà fondamentali dei titolari dei dati deve essere sempre compiuto avendo un occhio di riguardo per i secondi, in modo tale da scongiurare il pericolo che la nozione di “legittimo interesse” diventi un passepartout per trattamenti non legittimabili alla luce delle altre basi giuridiche elencate dall’art. 6.1 del GDPR.
Il Garante, a titolo esemplificativo, ha ritenuto che il “legittimo interesse” puòn configurarsi quando vi sia necessità di porre in essere una videosorveglianza da parte di soggetti privati, di utilizzare strumenti antifrode, di ricorrere a sistemi di geolocalizzazione nell’ambito di flotte aziendali.

I criteri di salvaguardia

Prescindendo dagli esempi (che possono essere fuorvianti) i criteri di salvaguardia dallo svolgimento di trattamenti “malamente” coperti dal “legittimo interesse” possono essere i seguenti:

  • il trattamento non deve riguardare i dati oggetto dell’art. 9.1 del GDPR (i così detti dati sensibili, tra i quali gli orientamenti politici/religiosi/sessuali, i dati genetici/biometrici, i dati sulla salute);
  • il trattamento non deve riguardare i dati relativi alle condanne penali ed ai reati (oggetto del successivo art. 10);
  • il trattamento può essere più idoneamente legittimato sulla base di una delle altre coperture giuridiche oggetto dell’art. 6.1 del GDPR (obbligo contrattuale, consenso, obbligo di legge, esigenza di salvaguardare gli interessi vitali dell’interessato o di un terzo eccetera);
  • il “legittimo interesse” può sussistere laddove, oltre al favorevole bilanciamento tra esso ed i diritti/libertà fondamentali/interessi di ciascuno di noi, siano chiaramente individuate le sue finalità, ed esse siano determinate, esplicite, legittime e rispondenti ai principi di proporzionalità e sussidiarietà;
  • devono sempre essere garantite, la qualità, l’integrità e l’esattezza dei dati oggetto del trattamento;
  • deve essere rigorosamente rispettato il principio di minimizzazione dei dati, cosicché essi siano sempre pertinenti, adeguati e limitati alla luce delle finalità del trattamento;
  • deve essere sempre garantito il più alto standard di sicurezza del trattamento, in termini di integrità, inviolabilità e resilienza da attacchi alla luce dei rischi posti dal trattamento stesso per gli interessi/diritti/libertà fondamentali delle persone;
  • deve sempre essere svolta una valutazione di impatto del trattamento, prima del suo svolgimento, ricordando che ove il risultato della stessa evidenzi un rischio residuo elevato, si dovrà consultare preventivamente il garante (ai sensi dell’art 36 del GDPR).

L’informativa

Alla luce di quanto sopra, è imprescindibile che il trattamento svolto sulla base del
“legittimo interesse” del titolare o di un terzo sia ispirato a correttezza e trasparenza.
Particolare cura, dunque, dovrà essere posta alla redazione della relativa informativa: la quale dovrà essere particolarmente chiara ed esplicita, sia quanto alla sussistenza di un “legittimo interesse”, sia quanto alla inequivoca individuazione concreta del medesimo.
Ed a questo riguardo, è importante aggiungere che, per rendere tale informativa adeguata, potrà essere utile corredarla di alcune parti della valutazione di impatto, così come delle considerazioni alla base del bilanciamento tra il “legittimo interesse” ed i diritti/interessi/libertà fondamentali dell’interessato.
Anche il formato e la struttura dell’informativa dovranno essere oggetto di attenta valutazione al fine di ottimizzarne l’attitudine a rendere gli interessati consapevoli delle peculiarità del trattamento dei loro dati per “legittimo interesse” del titolare o di un terzo. E così potranno di volta in volta prendersi in considerazione informative strutturate su più livelli, corredate da finestre pop up e/o da icone standardizzate.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • common criteria

    Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

    06 Dic 2023

    di Garibaldi Conte

    Condividi

  • Medicina

    Neuralink: le promesse e i dubbi sulla tecnologia di Musk

    30 Gen 2024

    di Redazione

    Condividi

Prossimo

Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

Articolo 1 di 3