L’EDPB chiarisce l’applicazione del legittimo interesse come base giuridica, definendo criteri di valutazione, balancing test e specifiche tutele per i diritti degli interessati in diversi settori chiave.
Il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato le Linee guida 1/2024, offrendo chiarimenti fondamentali sul trattamento dei dati personali basato sul legittimo interesse, ai sensi dell’art. 6, par. 1, lett. f) del GDPR. Questo nuovo documento stabilisce i criteri per applicare correttamente questa base giuridica, evidenziando l’importanza del balancing test e della tutela dei diritti degli interessati.
1. PREMESSA
Come ben noto, il legittimo interesse è una delle basi giuridiche sulle quali può fondarsi il trattamento dei dati personali, ai sensi dell’art. 6, par. 1, lett. f) del GDPR (“il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”) e dei Considerando 47-50. Le Linee guida in commento analizzano i criteri di applicazione di tale base giuridica e, più in particolare, forniscono le seguenti indicazioni:
- per fondare il trattamento dei dati sul legittimo interesse, il titolare del trattamento deve verificare, per il tramite di una valutazione ad hoc (anche chiamato, “balancing test”), la sussistenza di tre condizioni essenziali;
- sul rapporto tra il legittimo interesse e l’esercizio dei diritti degli interessati;
- sull’applicazione del legittimo interesse come base giuridica in specifici settori (“casi d’uso”).
2. VALUTAZIONE SULLA SUSSISTENZA DELLE CONDIZIONI
Al fine di stabilire se il trattamento di dati personali possa basarsi sull’art. 6, par. 1, lett. f) del GDPR, sono tre condizioni cumulative di cui è necessario valutare la sussistenza. Tale valutazione deve essere effettuata prima del trattamento e deve coinvolgere il Responsabile della Protezione dei dati (DPO), ove designato. È importante notare che l’esistenza di un interesse legittimo da parte del titolare non è di per sé sufficiente per invocare l’art. 6, par. 1, lett. f) del GDPR.
Il titolare del trattamento dovrà infatti svolgere una duplice valutazione, assicurandosi che:
- il trattamento previsto sia strettamente necessario per perseguire l’interesse legittimo;
- tale interesse legittimo non vada a danneggiare i diritti e le libertà dei soggetti interessati dal trattamento.
Ciò premesso, è possibile individuare tre condizioni:
1. Individuazione di un interesse che sia “legittimo”
Un interesse può essere considerato “legittimo” se sono soddisfatti i seguenti criteri cumulativi:
- l’interesse è lecito, ossia non contrario al diritto dell’UE o degli Stati membri;
- l’interesse è chiaramente e precisamente articolato. Viene dunque richiesto al titolare del trattamento che l’interesse legittimo sia identificato in maniera chiara e precisa, in modo tale da poter garantire un trasparente bilanciamento con i diritti e libertà fondamentali degli interessati;
- l’interesse è reale e presente, e non speculativo. Il legittimo interesse deve essere esistente e attuale alla data del trattamento e non deve in quel momento presentare carattere ipotetico.
2. Analisi sulla necessità del trattamento dei dati effettuato sulla base dell’interesse legittimo
La condizione di “necessità” non significa semplicemente che il trattamento sia utile. Occorre altresì valutare se l’interesse legittimo non possa essere perseguito con metodi alternativi, che siano altrettanto efficaci ma meno invasivi per i diritti e le libertà dei soggetti interessati. Se, alla luce di questa valutazione, dovessero emergere alternative ragionevoli e meno invasive, il trattamento non potrà essere considerato “necessario”.
3. Metodologia per effettuare il balancing test
Se l’interesse è legittimo e il trattamento è valutato necessario, l’ultimo adempimento richiesto dalle Linee Guida al titolare, è assicurarsi che l’interesse legittimo non prevalga sui diritti fondamentali del soggetto. Questo richiede un bilanciamento (anche detto “balancing test”) che considera i seguenti aspetti:
- Gli interessi, le libertà e i diritti fondamentali dei soggetti interessati: Da un punto di vista pratico, l’EDPB fornisce alcuni esempi su quelli che possono essere gli interessi, le libertà e i diritti fondamentali da prendere in considerazione. Questi comprendono, ad esempio, il diritto alla protezione dei dati e alla privacy, ma anche altri diritti come il diritto alla libertà e alla sicurezza, la libertà di espressione e di informazione, la libertà di pensiero, coscienza e religione, la libertà di riunione e associazione, il divieto di discriminazione, il diritto alla proprietà e il diritto all’integrità fisica e mentale.
- L’impatto del trattamento sui soggetti interessati (inclusa una valutazione sulla natura, sul contesto e su ogni altra conseguenza del trattamento): Quanto più i dati sono sensibili, tanto maggiore è il rischio di un impatto negativo sul soggetto interessato, il che aumenta il peso da considerare nel test di bilanciamento. Anche il contesto all’interno del quale avviene il trattamento è un elemento da valutare. In questo senso, il titolare dovrà considerare vari fattori, quali ad esempio l’ampiezza del trattamento, la mole di dati trattati, il tipo di rapporto con il soggetto (ad es., datore di lavoro-dipendente), il grado di accessibilità dei dati e lo status del soggetto (che può essere, ad esempio, un soggetto vulnerabile).
- Le ragionevoli aspettative dei soggetti interessati: Nell’effettuare il balancing test, giocano un ruolo importante le ragionevoli aspettative dei soggetti interessati, in quanto potrebbero limitare il rischio che quest’ultimi siano indebitamente sorpresi dal trattamento o dalle sue conseguenze o implicazioni. In questo senso, il Comitato fornisce una lista (non esaustiva) di fattori da considerare nel ponderare le ragionevoli aspettative dei soggetti, individuando, tra gli altri: l’esistenza e la cessazione della relazione con il soggetto (ad es. se il soggetto è o non è cliente), la prossimità della relazione, il luogo di raccolta dei dati, la natura e le caratteristiche del servizio dal quale trae origine il trattamento (ad es., un cliente abituale e un cliente potenziale avranno aspettative diverse).
- Il bilanciamento finale tra diritti e interessi in conflitto: All’esito del balancing test operato secondo le indicazioni fin qui esposte, il titolare del trattamento dovrà verificare che l’interesse legittimo perseguito non sia in contrasto con interessi, diritti, e libertà fondamentali dell’interessato. In caso contrario, il Comitato invita il titolare a valutare l’introduzione di misure mitigative per limitare l’impatto del trattamento sui soggetti, al fine di raggiungere un giusto equilibrio tra i diritti, le libertà e gli interessi coinvolti. A questo punto dovrà essere condotto nuovamente il presente test di bilanciamento, seguendo la predetta metodologia. Nel caso in cui gli interessi, i diritti e le libertà del soggetto prevarranno sugli interessi legittimi perseguiti e non possono essere adottate misure mitigative sufficienti, il trattamento non può basarsi sul legittimo interesse.
3. RAPPORTO TRA LEGITTIMO INTERESSE E DIRITTI DEGLI INTERESSATI
Laddove il titolare del trattamento decidesse, sulla base della predetta valutazione, di trattare i dati personali degli interessati sulla base del legittimo interesse, il Comitato precisa che il titolare del trattamento è tenuto ad adottare misure atte a tutelare l’esercizio dei diritti di cui al GDPR, prescrivendo le seguenti indicazioni con riguardo, inter alia, ai seguenti aspetti:
- trasparenza e informazioni per i soggetti interessati: il titolare del trattamento deve indicare specificamente gli interessi che persegue, in osservanza di quanto prescritto dagli artt. 13, par. 1, lett. d) e art. 14, par. 2, lett. b), GDPR. Le informazioni relative alle risultanze del balancing test rispetto alla prevalenza degli interessi sui diritti possono essere fornite per il tramite di un privacy statement o di un’informativa, oppure, rese su richiesta degli interessati;
- diritto di accesso: il titolare del trattamento è tenuto ad indicare la base giuridica del legittimo interesse o dove reperire questa informazione, allo scopo di garantire un trattamento equo e trasparente. Il diritto di accesso deve, per l’appunto, consentire all’interessato di verificare che i suoi dati personali siano trattati nel rispetto del principio di liceità, di cui all’art. 5 del GDPR. In caso di mancata conoscenza della base giuridica, gli interessati potrebbero non essere in grado di valutare effettivamente quali dati possono essere esercitati, dipendenti anche dalla stessa;
- diritto di opposizione: in caso di opposizione al trattamento, il titolare del trattamento potrebbe continuare a trattare i dati personali, esclusivamente laddove vi sia la sussistenza di interessi legittimi cogenti, da valutare caso per caso (e da documentare);
- diritto di cancellazione: in caso di richiesta di cancellazione, il titolare del trattamento deve procedere alla cancellazione dei dati, anche se la normativa non fornisce chiarimenti su come procedere a riguardo. Il Comitato, peraltro, precisa che potrebbe essere difficile distinguere i casi in cui avvenga l’esercizio del diritto di opposizione e quello di cancellazione. Pertanto, si suggerisce che qualora vi sia un’opposizione, si proceda anche per la cancellazione.
4. APPLICAZIONE SU SETTORI SPECIFICI DEL LEGITTIMO INTERESSE
L’EDPB, infine, fornisce indicazioni sull’applicazione del base giuridica del legittimo interesse in determinati settori [cfr. trattamento dei dati personali dei minori; trattamento effettuato dalle autorità pubbliche; trattamento dei dati personali per finalità antifrode; trattamento dei dati personali per finalità di marketing diretto (“direct marketing”); trattamento dei dati personali per scopi amministrativi interni ad un gruppo di imprese; trattamento dei dati personali per la sicurezza delle informazioni; trattamento dei dati personali nei casi di trasmissione verso le Autorità competenti)], suggerendo di adottare, in ogni caso, una valutazione caso per caso.
A titolo esemplificativo – rendendosi disponibile per effettuare taluni approfondimenti con riguardo alla Vostra organizzazione – si evidenziano i seguenti aspetti:
- nell’ambito del trattamento dei dati personali dei minori, il Comitato ritiene che, nella valutazione, deve rivestire un ruolo fondamentale l’interesse del minore (“children’s best interests”);
- nell’ambito del trattamento dei dati personali per finalità di marketing diretto, oltre a rinviare a quanto prescritto nella normativa nazionale di ciascun Stato membro, nonché il Comitato precisa che potrebbero rilevare nella valutazione: i) il grado di intrusività di alcune pratiche commerciali (maggiore è l’intrusività, più difficile è il balancing test); ii) l’analogia e/o la similarità dei prodotti e/o dei servizi oggetto di comunicazioni commerciali rispetto a quelli già acquistati.
- nel caso di gruppo di imprese, il Comitato individua un caso specifico in cui potrebbe essere utilizzato il legittimo interesse, quale base giuridica, ossia quello in cui la sede centrale del gruppo chiede i dati dei clienti di ciascuna filiale allo scopo di effettuare analisi statistiche e migliorare l’organizzazione futura. In tal caso, la sede centrale potrebbe basare il trattamento dei dati dei clienti di ciascuna filiale sul legittimo interesse.
5. CONCLUSIONI
Alla luce delle indicazioni fornite dalle Linee guida, sarà opportuno, dunque:
- verificare che i trattamenti effettuati sulla base del legittimo interesse siano stati valutati nel rispetto di quanto indicato all’interno delle Linee guida;
- verificare, prima dello svolgimento di trattamenti sulla base del legittimo interesse, che siano presenti le tre condizioni, un corretto bilanciamento con i diritti, con il supporto del DPO (laddove designato);
- per quei trattamenti che saranno svolti sulla base del legittimo interesse, verificare se si rientra all’interno di uno dei casi d’uso tracciati nelle Linee guida, seguendone le relative indicazioni.
Fabiola Iraci, Paolo Gentili