Temi

Shape 5 Live Search

logo

Il legittimo interesse (commerciale, sicurezza dei beni aziendali, ecc...) del titolare del trattamento può costituire la base giuridica del trattamento dei dati, purché siano bilanciati i diritti tra il titolare e l'interessato. 

Tale base giuridica, però, non si applica alle autorità pubbliche nello svolgimento dei loro compiti. 

Con la normativa precedente al GDPR, il bilanciamento tra i diritti delle parti era demandato all'Autorità per la protezione dei dati personali, cosa che ha limitato l'utilizzo di questa base giuridica per il trattamento. L'articolo 24, lettera g), del Codice della privacy prevedeva, appunto, la possibilità di trattare dati, con esclusione della diffusione (a differenza della direttiva europea, scelta questa del legislatore italiano proprio per demandare il bilanciamento al solo Garante), nei casi individuati dal Garante per perseguire un legittimo interesse di un titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato. L'interessato, in sostanza, deve aspettarsi il tipo di trattamento. 

Nell'ambito del nuovo principio di responsabilizzazione, con il Regolamento generale europeo (GDPR) compete, invece, ai titolari effettuare tale bilanciamento, consentendone un'applicazione generalizzata, fermo restando la possibilità di verifica successiva da parte del Garante. Il titolare dovrà, quindi, determinare se le sue azioni sono in linea con le ragionevoli aspettative dell'utente. Si tratta, purtroppo, di termini vaghi che potrebbero consentire abusi nel trattamento dei dati. Il bilanciamento degli interessi contrapposti, infatti, è un'operazione complessa. Concedere ai privati la possibilità di tararsi le leggi su misura, ricorrendo ad una valutazione discrezionale dei contrapposti interessi, potrebbe condurre ad un'incertezza applicativa in grado di alimentare controversie e diseguaglianze. 

 

Requisiti

Se il trattamento è basato sui legittimi interessi non occorre il consenso dell'interessatopurché, però, non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato (in special modo se questi è un minore) tenuto conto delle ragionevoli aspettative dello stesso in base alla relazione col titolare del trattamento (Considerando 47 del Regolamento Generale europeo).
Occorre però informare l'interessato del fatto che i suoi dati sono trattati in base ai legittimi interessi, senza però che sia necessario spiegare come il titolare opera il bilanciamento tra i diritti. 

Per l'utilizzo dei legittimi interessi quale base giuridica del trattamento occorrono alcuni requisiti: 
1) il titolare del trattamento ha necessità di elaborare il dato per fini propri o di terzi (ad esempio, se una società finanziaria cerca un suo cliente che è in ritardo coi pagamenti, la società ha il legittimo interesse ad ottenere il nuovo indirizzo del cliente anche in assenza di consenso specifico); 
2) occorre bilanciare gli interessi del titolare con quelli dell'interessato, e quindi il trattamento appare ingiustificato se ha degli effetti pregiudizievoli sui diritti e le libertà, o interessi legittimi, del singolo (riportandoci all'esempio di prima, è evidente che l'interesse del cliente a non pagare le tasse non può essere ritenuto legittimo o giustificato), tenendo conto delle ragionevoli aspettative degli interessati; 
3) il trattamento delle informazioni deve essere equo e rispettare i principi di protezione dei dati (quindi la società finanziaria deve garantire che i dati siano precisi, aggiornati, non eccessivi -la società ottiene solo i dati necessari allo scopo, rintracciare il cliente-). 

Nel concreto il titolare, prima di iniziare qualsiasi trattamento dei dati sulla base dei legittimi interessi, deve non solo valutare se ha correttamente preso in considerazione tutti i rischi in gioco, e quindi tutte le possibili conseguenze sugli interessati (eventualmente svolgendo una DPIA), ma anche raccogliere (e documentare, vedi registro dei trattamenti) elementi sufficienti per essere in grado di dimostrare che gli interessi relativi sono stati ben bilanciati tra loro. I titolari dovrebbero mantenere un registro delle valutazioni (che potrebbe essere contenuto nel registro dei trattamenti) in tema di legittimi interessi al fine di provare il corretto bilanciamento dei diritti. 

 

Casi pratici

Anche se il Regolamento non contiene un elenco tassativo dei casi di “legittimo interesse”, il Considerando 47 esemplifica alcune ipotesi di motivi legittimi per il trattamento, cioè “quando esista una relazione pertinente e appropriata tra l'interessato e il titolare del trattamento, ad esempio quando l'interessato è un cliente o è alle dipendenze del titolare del trattamento”. Quindi, Il trattamento dei dati per finalità di marketing diretto può essere considerato legittimo interesse. Il fatto di menzionare espressamente il marketing diretto quale trattamento ammesso in base ai legittimi interessi, però, non autorizza l'azienda ad un trattamento libero dei dati personali, dovendo essa comunque contemperare i suoi interessi con i diritti della persona e con gli stessi interessi particolari degli interessati al trattamento. Ad esempio, se l'interessato è già cliente dell'azienda generalmente sussiste il bilanciamento dei diritti. 

Inoltre il Considerando 49 precisa che: "costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell’informazione, vale a dire la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comunicazione elettronica e fornitori di tecnologie e servizi di sicurezza. Ciò potrebbe, ad esempio, includere misure atte a impedire l’accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da «blocco di servizio» e ai danni ai sistemi informatici e di comunicazione elettronica". 

L'interesse legittimo deve essere reale e non troppo vago. Ad esempio si potrebbe applicare ai seguenti casi: 
- protezione contro le frodi; 
- misure di sicurezza; 
- trasferimento di dati tra parti diverse della stessa azienda; 
- elaborazione al fine di verifica dell'età; 
- valutazione del rischio; 
- esercizio del diritto di opposizione (vedi paragrafo successivo) ad esempio nel marketing diretto, nel qual caso può essere necessario mantenere la mail per impedire l'invio di ulteriori comunicazione commerciali; 
- personalizzazione del sito web per migliorare l'esperienza dell'utente; 
- analisi web, verifica del numero di visitatori del sito, commenti, ecc...; 
- comunicazione di reati all'autorità giudiziaria; 
- in ambito lavorativo l'utilizzo di dati di localizzazione (smartphone, GPS); 
- misure per la sicurezza delle reti e delle comunicazioni. 

 

Opposizione dell'interessato

Nel caso di trattamenti basati su legittimi interessi, l'interessato ha il diritto di opporsi, in qualsiasi momento e gratuitamente, al trattamento dei dati personali che riguardano la sua situazione particolare (Considerando 70 del Regolamento Generale). Incombe sul titolare del trattamento dimostrare che i suoi interessi legittimi cogenti prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell'interessato. L'interessato deve essere informato della possibilità di avvalersi di tale diritto. 

Ricordiamo che in base ai legittimi interessi non è possibile trattare i dati sensibili

 

Provvedimenti del Garante

In relazione ai lgittimi interessi, il Garante Privacy italiano ha emesso vari provvedimenti dai quali si possono desumere alcuni parametri per un corretto bilanciamento: 

- provvedimento su misure biometriche (2014); 
- provvedimento su videosorveglianza (2010); 
- verifica preliminare su transazioni commerciali (2017), col quale è stato ritenuto ammissibile un trattamento aziendale di dati connesso ad un sistema antifrode; 
- verifica preliminare su banca dati in ambito assicurativo (2017). 


Modifiche a seguito della legge di bilancio 2018 e del decreto di adeguamento del Codice Privacy

Con la legge di bilancio del 2018 (Legge 27 dicembre 2017, n. 205, G.U. n.302 del 29-12-2017 - Suppl. Ordinario n. 62 -commi da 1020 a 1024-), il legislatore italiano mostra di non gradire molto l'utilizzo dei legittimi interessi quale base giuridica di un trattamento. Infatti, la finanziaria prescrive che i responsabili del trattamento dei dati che trattano i dati personali mediante mezzi automatizzati o " nuove tecnologie " sulla base dei legittimi interessi devono: 
- inviare una notifica preventiva all'Autorità Garante per la protezione dei dati, allegando una nota informativa (informativa sulla privacy o semplicemente un modello per fornire dettagli sull'attività di trattamento dei dati da non incorporare nell'informativa sulla privacy, non è chiaro!) da redigere secondo un modello e le linee guida che l'autorità emetterà;
- attendere l'approvazione dell'autorità, ma nel frattempo, trascorsi 15 giorni dall'invio del materiale all'autorità, potrà comunque iniziare il trattamento (non è un consenso tacito, in quanto l'autorità comunque proseguirà la sua verifica). 

In questo modo di fatto si replica l'approvazione prevista con la precedente normativa modificando le norme previste dal regolamento europeo che dovrebbe, invece, applicarsi senza alcuna modifica a tutti gli Stati dell'Unione europea. Introducendo, inoltre, un controllo preventivo che è in contrasto con il principio di responsabilità alla base del GDPR. 
E' ovvio che la norma creerà anche problemi pratici, visto che oggi tutti i trattamenti sono basati su mezzi automatizzati e quindi l'autorità sarà subissata di notifiche. 

Con il decreto di adeguamento del Codice Privacy al GDPR, però, si stabilisce che, a decorrere dal 25 maggio 2018, le disposizioni di cui ai commi 1022 e 1023 dell'articolo 1 della legge 27 dicembre 2017, n. 205, si applicano esclusivamente ai trattamenti di dati dei dati personali funzionali all'autorizzazione del cambiamento del nome o del cognome dei minorenni, nei limiti e con le modalità di cui all’articolo 36 del regolamento (UE) 2016/679 (consultazione preventiva al Garante). Il controllo preliminare del Garante viene confermato, quindi, solo per casi specifici in cui l’esecuzione di un compito di interesse pubblico può presentare rischi particolarmente elevati.