Trattamenti basati sui legittimi interessi del titolare
Featured

Trattamenti basati sui legittimi interessi del titolare

legittimi interessi del titolare del trattamento possono costituire la base giuridica del trattamento dei dati, purché siano bilanciati con gli interessi o i diritti e le libertà dell'interessato

Con la normativa precedente al GDPR, il bilanciamento tra i diritti delle parti in causa era demandato all'Autorità per la protezione dei dati personali, cosa che ha limitato l'utilizzo di questa base giuridica per il trattamento dei dati personali. L'articolo 24, lettera g), del Codice della privacy prevedeva, appunto, la possibilità di trattare dati, con esclusione della diffusione (a differenza della direttiva europea, scelta specifica del legislatore italiano proprio per demandare il bilanciamento al solo Garante), nei casi individuati dal Garante per perseguire un legittimo interesse di un titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato. 

Nell'ambito del nuovo principio di responsabilizzazione, con il Regolamento generale europeo (GDPR) compete, invece, ai titolari effettuare tale bilanciamento, consentendone un'applicazione generalizzata, fermo restando la possibilità di verifica successiva da parte del GaranteSarà quindi direttamente il titolare a determinare se le sue azioni sono in linea con le ragionevoli aspettative dell'utente. Se il test si conclude nel senso che gli interessi degli interessati prevalgono, allora il trattamento dei dati non può essere eseguito. Si tratta, purtroppo, di termini vaghi che potrebbero consentire abusi nel trattamento dei dati. Il bilanciamento degli interessi contrapposti, infatti, è un'operazione complessa, concedere ai privati la possibilità di ricorrere ad una valutazione discrezionale dei contrapposti interessi, potrebbe condurre ad un'incertezza applicativa in grado di alimentare controversie e diseguaglianze. 

 

Interesse legittimo

L'interesse è il beneficio che il titolare può ottenere dal trattamento dei dati personali altrui. L'interesse deve essere legittimo, cioè occorre che sia perseguito secondo modalità conformi alle normative. In sostanza deve: 
- essere lecito (ossia conforme al diritto nazionale e unionale applicabile);
- essere articolato in maniera sufficientemente chiara, ossia sufficientemente specifico da consentire di eseguire il test comparativo valutando l’interesse legittimo del titolare del trattamento rispetto agli interessi o ai diritti fondamentali dell’interessato; 
- rappresentare un interesse concreto ed effettivo (ossia non deve essere teorico e quindi corrispondere alle attività in corso).

Esempi di interesse legittimo (comunque da sottoporre al test comparativo) sono: 
- esercizio del diritto alla libertà di espressione e d’informazione, anche nei mezzi di comunicazione e di espressione artistica; 
- commercializzazione diretta tradizionale e altre forme di commercializzazione o pubblicità; 
- messaggi indesiderati non commerciali, anche a fini di campagne politiche o di raccolta fondi per scopi benefici; 
- esercizio di un diritto in via giudiziale, compreso il recupero del credito tramite procedure extragiudiziali; 
- prevenzione di frodi, uso improprio dei servizi o riciclaggio di denaro; 
- controllo del personale a fini di sicurezza o gestione; 
- procedure per la denuncia delle irregolarità; 
- sicurezza fisica, sicurezza informatica e sicurezza della rete; 
- trattamento di dati a scopi statistici o di ricerca storica o scientifica; 
- trattamento a scopi di ricerca (compresa la ricerca a fini commerciali). 

Tale base giuridica (art. 6 GDPR), però, non si applica alle autorità pubbliche nello svolgimento dei loro compiti. 

 

Test comparativo

Il fatto che sussista un interesse legittimo non giustifica l'uso di questa base giuridica per il trattamento dei dati personali. Se un titolare ha, ad esempio, l'interesse a conoscere quanti più dati possibili dei suoi utenti al fine di inviare comunicazioni commerciali, questo non significa che il titolare possa monitorare tutte le attività online degli utenti senza alcuna limitazione creando profili degli utenti a loro insaputa. Tale attività è infatti un'ingerenza considerevole nelle vite degli utenti. 

La norma, quindi, non è una porta aperta per legittimare tutti i trattamenti di dati che non rientrano in uno degli altri fondamenti giuridici. Per cui occorre una verifica in concreto. 

Per cui è prevista una valutazione del titolare, che poi dovrà documentare e giustificare in base al principio di responsabilizzazione. Per valutare la sussistenza di un legittimo interesse del titolare ai sensi del GDPR, la Corte di Giustizia europea (C-13/16) ha stabilito un test comparativo in tre fasi tra gli interessi del titolare (o del terzo a cui i dati saranno comunicati) e quelli degli interessati: 
   1) accertamento dell'esistenza di un interesse legittimo da parte del titolare o dei terzi ai quali i dati saranno comunicati,
   2) il trattamento dei dati deve essere necessario per tale interesse
   3) l'interesse del titolare del trattamento deve prevalere sugli interessi  o i diritti e le libertà fondamentali dell'interessato (in special modo se questi è un minore) tenuto conto delle ragionevoli aspettative dello stesso in base alla relazione col titolare del trattamento (Considerando 47 del Regolamento Generale europeo).

Il trattamento è ingiustificato se ha degli effetti pregiudizievoli sui diritti e le libertà, o interessi del singolo, tenendo conto delle ragionevoli aspettative degli interessati. In questo caso non è necessario che siano legittimi, per cui in teoria sono tutelabili anche interessi di una persona che potrebbe aver commesso un reato. L'interessato, in sostanza, deve aspettarsi quel tipo di trattamento. Ciascuna fase consiste in una valutazione separata dalle altre. 

Nel concreto il titolare, prima di iniziare qualsiasi trattamento dei dati sulla base dei legittimi interessi, deve non solo valutare se ha correttamente preso in considerazione tutti i rischi in gioco, e quindi tutte le possibili conseguenze sugli interessati (eventualmente svolgendo una DPIA), ma anche raccogliere (e documentare, vedi registro dei trattamenti) elementi sufficienti per essere in grado di dimostrare che gli interessi relativi sono stati ben bilanciati tra loro. I titolari dovrebbero mantenere un registro delle valutazioni (che potrebbe essere contenuto nel registro dei trattamenti) in tema di legittimi interessi al fine di provare il corretto bilanciamento dei diritti. 

Occorre infine informare l'interessato del fatto che i suoi dati sono trattati in base ai legittimi interessi, senza però che sia necessario spiegare come il titolare opera il bilanciamento tra i diritti. 

 

Interesse legittimo dei terzi

La norma non fa riferimento al solo interesse legittimo del titolare del trattamento ma anche a quelli dei terzi ai quali i dati verranno comunicati. Un caso classico è la pubblicazione dei dati (es. gli stipendi dei dirigenti) a fini di trasparenza. In tal caso la divulgazione è nell'interesse dei dipendenti, dei giornalisti e del pubblico.  

 

Casi pratici

Anche se il Regolamento non contiene un elenco tassativo dei casi di “legittimo interesse”, il Considerando 47 esemplifica alcune ipotesi di motivi legittimi per il trattamento, cioè “quando esista una relazione pertinente e appropriata tra l'interessato e il titolare del trattamento, ad esempio quando l'interessato è un cliente o è alle dipendenze del titolare del trattamento”. Quindi, Il trattamento dei dati per finalità di marketing diretto può essere considerato legittimo interesse. Il fatto di menzionare espressamente il marketing diretto quale trattamento ammesso in base ai legittimi interessi, però, non autorizza l'azienda ad un trattamento libero dei dati personali, dovendo essa comunque contemperare i suoi interessi con i diritti della persona e con gli stessi interessi particolari degli interessati al trattamento. Ad esempio, se l'interessato è già cliente dell'azienda generalmente sussiste il bilanciamento dei diritti con riferimento all'attività principale (non a quelle incidentali) dell'azienda. 

Inoltre il Considerando 49 precisa che: "costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell’informazione, vale a dire la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comunicazione elettronica e fornitori di tecnologie e servizi di sicurezza. Ciò potrebbe, ad esempio, includere misure atte a impedire l’accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da «blocco di servizio» e ai danni ai sistemi informatici e di comunicazione elettronica".  

L'interesse legittimo deve essere reale e non troppo vago. Ad esempio si potrebbe applicare ai seguenti casi: 
- protezione contro le frodi; 
- misure di sicurezza; 
- trasferimento di dati tra parti diverse della stessa azienda; 
- elaborazione al fine di verifica dell'età; 
- valutazione del rischio; 
- esercizio del diritto di opposizione (vedi paragrafo successivo) ad esempio nel marketing diretto, nel qual caso può essere necessario mantenere la mail per impedire l'invio di ulteriori comunicazione commerciali; 
- personalizzazione del sito web per migliorare l'esperienza dell'utente; 
- analisi web, verifica del numero di visitatori del sito, commenti, ecc...; 
- comunicazione di reati all'autorità giudiziaria; 
- in ambito lavorativo l'utilizzo di dati di localizzazione (smartphone, GPS); 
- misure per la sicurezza delle reti e delle comunicazioni. 

Di contro non appare conforme alla normativa l'utilizzo dei legittimi interessi quale base per i cookie di profilazione con la finalità di invio di pubblicità personalizzata. Un'azienda che utilizza cookie pubblicitari sul sito web generalmente non ha alcun rapporto diretto con gli utenti che navigano il sito, specialmente in considerazione del fatto che i cookie pubblicitari sono spesso gestiti da terze parti rispetto al gestore del sito web. Quindi gli utenti non si aspettano generalmente tale tipo di utilizzo dei loro dati comportamentali. La pratica di inserire caselle preselezionate relative all'utilizzo dei legittimi interessi quale base giuridica per la profilazione pubblicitaria, nel caso in cui l'utente non spunti le caselle relative al consenso, appare anche ingannevole creando confusione tra le varie basi giuridiche. 

 

Opposizione dell'interessato

Nel caso di trattamenti basati su legittimi interessi, l'interessato ha il diritto di opporsi, in qualsiasi momento e gratuitamente, al trattamento dei dati personali che riguardano la sua situazione particolare (Considerando 70 del Regolamento Generale). L'interessato deve essere informato della possibilità di avvalersi di tale diritto. 

 

Provvedimenti delle autorità

In relazione ai lgittimi interessi, il Garante Privacy italiano ha emesso vari provvedimenti dai quali si possono desumere alcuni parametri per un corretto bilanciamento: 

- provvedimento su misure biometriche (2014); 
- provvedimento su videosorveglianza (2010); 
- verifica preliminare su transazioni commerciali (2017), col quale è stato ritenuto ammissibile un trattamento aziendale di dati connesso ad un sistema antifrode; 
- verifica preliminare su banca dati in ambito assicurativo (2017). 

Inoltre il Working Party Art. 29 nel 2014 ha pubblicato un parere che, pur essendo relativo alla precedente direttiva privacy, ha comunque molti spunti utili. 

 

Modifiche: legge di bilancio 2018 e decreto di adeguamento del Codice Privacy

Con la legge di bilancio del 2018 (Legge 27 dicembre 2017, n. 205, G.U. n.302 del 29-12-2017 - Suppl. Ordinario n. 62 -commi da 1020 a 1024-) il legislatore italiano aveva introdotto limitazioni all'uso dei legittimi interessi quale base giuridica di un trattamento. Infatti, la legge finanziaria prescriveva che i responsabili del trattamento dei dati che trattano i dati personali mediante mezzi automatizzati o " nuove tecnologie " sulla base dei legittimi interessi dovevano: 
- inviare una notifica preventiva all'Autorità Garante per la protezione dei dati, allegando una nota informativa (informativa sulla privacy o semplicemente un modello per fornire dettagli sull'attività di trattamento dei dati da non incorporare nell'informativa sulla privacy, non è chiaro!) da redigere secondo un modello e le linee guida che l'autorità emetterà;
- attendere l'approvazione dell'autorità, ma nel frattempo, trascorsi 15 giorni dall'invio del materiale all'autorità, potrà comunque iniziare il trattamento (non è un consenso tacito, in quanto l'autorità comunque proseguirà la sua verifica). 

Tale norma introduceva un controllo preventivo in contrasto col principio di responsabilizzazione alla base del GDPR, replicano l'approvazione prevista con la precedente normativa. 

Invece, col decreto di adeguamento del Codice Privacy al GDPR tale obbligo è stato modificato, prevedendo che a decorrere dal 25 maggio 2018, le disposizioni di cui ai commi 1022 e 1023 dell'articolo 1 della legge 27 dicembre 2017, n. 205, si applicano esclusivamente ai trattamenti di dati dei dati personali funzionali all'autorizzazione del cambiamento del nome o del cognome dei minorenni, nei limiti e con le modalità di cui all’articolo 36 del regolamento (UE) 2016/679 (consultazione preventiva al Garante). Il controllo preliminare del Garante viene confermato, quindi, solo per casi specifici in cui l’esecuzione di un compito di interesse pubblico può presentare rischi particolarmente elevati. Negli altri casi è il titolare a doversi fare carico della valutazione. 

---------------------------------

Contattami per una consulenza su questa materia.