Il punto sul legittimo interesse al trattamento dei dati personali e la tutela dei soggetti interessati prevista dal GDPR, costituisce un argomento di vitale importanza.
L’errata interpretazione di questo aspetto della disciplina può portare a conseguenze disastrose in termini puramente giuridici, con successive sanzioni e cause di risarcimento, e in termini di reputazione commerciale dell’impresa, con effetti altrettanto, se non più, devastanti.
L’interesse legittimo costituisce la base legale più flessibile tra le sei previste dal GDPR per il trattamento dei dati personali. Tuttavia, non si può presumere che sia sempre quella più appropriata.
Insomma, la sua flessibilità non può essere un pretesto per evadere gli obblighi legali imposti dal regolamento e conculcare i diritti delle persone fisiche.
Il legittimo interesse è una base legale sicuramente più opportuna, quando si utilizzano i dati delle persone fisiche secondo modalità che i soggetti interessati stessi si aspettano e che pertanto hanno un impatto minimo sulla privacy, o dove c’è una giustificazione primaria per l’elaborazione.
Le basi legali secondo il GDPR
Ricordiamo qui che, in base al disposto dell’art. 6 Liceità del trattamento, le basi legali sono:
- Consenso (l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità )
- Contratto (trattamento necessario per l’esecuzione di un contratto)
- Obbligo legale (trattamento necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento)
- Interessi vitali (trattamento necessario per la salvaguardi degli interessi vitali dell’interessato o di altra persona fisica)
- Pubblico interesse (trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento)
- Legittimo interesse (il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore)
Valutazione dell’interesse legittimo (LIA)
Se si procede considerando l’interesse legittimo quale base legale, ci si assume la responsabilità aggiuntiva di tenere in conto e tutelare i diritti e gli interessi delle persone i cui dati vengono trattati.
Ad esempio, la Pubblica Amministrazione può far dipendere il trattamento solo sull’interesse legittimo se elabora dati personali per un motivo, conforme alla legge, diverso da quello che è il pubblico interesse.
Per aiutarci a definire la liceità dell’interesse legittimo quale base, possiamo considerare quanto segue:
- Identificare un interesse legittimo;
- Dimostrare che il trattamento è necessario per conseguire tale interesse legittimo;
- Valutare tale interesse con gli interessi, i diritti e le libertà degli individui.
Un interesse legittimo può essere rappresentato da un interesse proprio o di un terzo.
In questa categoria si possono includere interessi commerciali, interessi individuali o benefici sociali più ampi. Attenzione però, non dovete confondere interesse legittimo con aggiramento della norma. Oltre che eticamente ripugnante, avreste serie conseguenze legali.
Il trattamento deve essere necessario. Se è possibile ottenere ragionevolmente lo stesso risultato in un altro modo meno intrusivo, allora non si farà ricorso all’interesse legittimo quale base legale del trattamento.
Come già detto, dovete prestare molta cautela.
Se, ad esempio, ritenendo che il vostro interesse economico, o di un terzo, sia prevalente sulla tutela dei diritti dei soggetti interessati, fate ricorso all’interesse legittimo per inviare newsletter che contengono offerte commerciali, senza avere richiesto preventivamente il consenso, avete commesso un’infrazione in piena regola!
La vostra valutazione deve sempre considerare gli interessi degli individui poiché, se non vi sono ragioni per cui i soggetti interessati si aspettano il trattamento dei loro dati personali, o se come conseguenza di ciò si verifica un danno ingiustificato agli interessati, a quel punto la probabilità che i loro interessi prevalgono sui vostri è piuttosto alta.
Il consiglio è il seguente: tenete un registro della valutazione degli interessi legittimi che potrà esservi molto utile per dimostrare la conformità al GDPR qualora necessario.
Includete inoltre i dettagli dei vostri interessi legittimi nella informativa sulla privacy.
Focalizzate la vostra attenzione sull’art. 35 Valutazione d’impatto sulla protezione dei dati, paragrafo 7 lettera a del Reg UE 2016/679
La valutazione contiene almeno: a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
Pertanto, fate la vostra valutazione degli interessi legittimi (in gergo tecnico chiamata LIA) secondo la seguente checklist
Check List LIA: Valutazione Interessi Legittimi
Abbiamo verificato che gli interessi legittimi rappresentano la base più appropriata.
? Comprendiamo la nostra responsabilità di proteggere gli interessi dell’individuo.
? Abbiamo condotto una valutazione degli interessi legittimi (LIA) e ne abbiamo tenuto traccia, per garantire che possiamo giustificare la nostra decisione.
? Abbiamo identificato gli interessi legittimi rilevanti.
? Abbiamo verificato che l’elaborazione è necessaria e che non esiste un modo meno intrusivo per ottenere lo stesso risultato.
? Abbiamo condotto un test di bilanciamento e siamo certi che gli interessi dell’individuo non prevalgono su tali interessi legittimi.
? Utilizziamo i dati delle persone solo secondo modalità che ragionevolmente loro stessi si aspetterebbero, a meno che non abbiamo una buona ragione per fare diversamente.
? Non usiamo i dati delle persone in modo invadente o che potrebbe causare loro danni, a meno che non abbiamo una buona ragione per farlo.
? Se elaboriamo di minori, prestiamo la massima attenzione per garantire la protezione dei loro interessi.
? Abbiamo preso in considerazione misure di protezione per ridurre l’impatto laddove possibile.
? Abbiamo esaminato se possiamo offrire una funzione di rinuncia (in gergo chiamata opt-out) per consentire ai soggetti interessati di rifiutare il trattamento dei loro dati.
? Se la nostra LIA (valutazione interessi legittimi) identifica un impatto significativo sulla privacy, abbiamo considerato se dobbiamo anche condurre una valutazione d’impatto sui rischi (in gergo chiamata DPIA).
? Teniamo sotto controllo la nostra e la ripetiamo se sopraggiungono cambiamenti.
? Includiamo informazioni sui nostri interessi legittimi nella nostra informativa sulla privacy.