GDPR: il Legittimo Interesse come base giuridica del trattamento

Uno dei principi fondamentali del GDPR riguarda la liceità del trattamento, ovvero l’obbligo di un titolare del trattamento, di trattare in maniera lecita i dati che gestisce. Affinché un trattamento sia lecito, necessariamente deve essere fondato su una delle basi giuridiche descritte all’interno dell’art. 6 del GDPR, esso recita infatti:

“Il trattamento è lecito solo se ricorre a una delle seguenti condizioni: f) è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”.

In sintesi, un Titolare può trattare un dato alle seguenti condizioni:

• L’interesse del Titolare deve prevalere su quello degli interessati (considerando 69 del GDPR:” è opportuno che incomba al titolare del trattamento dimostrare che i suoi interessi legittimi cogenti prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato”);
• L’interesse del titolare deve essere legittimo;
• L’interesse deve appartenere al titolare o terzi;

Quando scegliere il Legittimo Interesse come base giuridica del trattamento?

Prima di rispondere a questa domanda, facciamo un passo indietro.

L’arrivo della nuova Legge Privacy  introduce il “principio di “Accountability”, che letteralmente significa “capacità di dimostrare”, questo principio sposta, sul titolare, l’onere di verificare l’adeguatezza e la legittimità di un determinato trattamento, effettuando il bilanciamento degli interessi in gioco.

Esistono situazioni ben definite dalla norma, dove non possiamo cadere in errore.

Ad esempio, il considerando 47 ci dice:

“I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento. Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento. In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine. Gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali. Posto che spetta al legislatore prevedere per legge la base giuridica che autorizza le autorità pubbliche a trattare i dati personali, la base giuridica per un legittimo interesse del titolare del trattamento non dovrebbe valere per il trattamento effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti. Costituisce parimenti legittimo interesse del titolare del trattamento interessato trattare dati personali strettamente necessari a fini di prevenzione delle frodi. Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.”

Sulla base di quanto sopra citato, il Titolare del trattamento deve svolgere un vero e proprio Assessment per definire se il suo trattamento non necessita di consenso poiché si può basare sul legittimo interesse (considerando 46-47-49 del GDPR)

Il noto Diogo Guerreiro Duarte descrive, nel suo articolo di agosto 2019 uno dei suoi articoli “What is legitimate interest assessment”, le modalità attraverso le quali dovrebbe essere condotto un Assessment sul legittimo interesse.
L’obiettivo deve essere quello di bilanciare l’interesse del titolare del trattamento con quello dell’interessato.

Secondo questa visione, bisognerebbe effettuare un TEST, ponendosi delle vere e proprie domande specifiche sul trattamento in oggetto, tenendo conto del fatto che ogni fase del test è propedeutica per passare a quello successivo.

Vengono individuati i seguenti step:

1. DOMANDE di TEST INERENTI ALLO SCOPO:

Perché si vuole trattare i dati? Quali sono i benefici? E i benefici delle terze parti? Perché è importante il beneficio che si persegue? … ;

2. DOMANDE di TEST INERENTI ALLA NECESSITÀ:

Il trattamento è proporzionale allo scopo? viene rispettato il principio di minimizzazione? Lo scopo è raggiunto mediante la modalità meno invasiva?

3. DOMANDE di TEST SUL BILANCIAMENTO:

Riguarda i diritti degli interessati (legittima aspettativa dell’interessato? Il trattamento crea una barriera per l’esercizio dei diritti dell’interessato?); la natura del dato (trattasi di un dato particolare?);

Una volta risposto a queste domande, il titolare del trattamento ha effettuato la sua valutazione e ha bilanciato gli interessi in gioco.

Questo è quello che si dovrebbe fare dal punto di vista teorico.

Lato pratico sarà così semplice effettuare tale valutazione?

Resta difficile rispondere a questa domanda; l’unica cosa certa è che rimane cosa indispensabile per trattare correttamente i dati degli interessati; sulle modalità, l’Accountability ci lascia ampio margine d’azione, l’importante sarà poterlo dimostrare.