Lo European data protection board (Comitato europeo per la protezione dei dati personali) ha adottato nuove linee guida sull’Interesse legittimo (Guiderlines n.1/2024) tese a fornire chiarimenti sul trattamento dei dati basato su tale base giuridica, secondo quanto stabilito dall’articolo 6, paragrafo 1, lett. F del Regolamento n. 679/2016 (GDPR).
Si tratta di un documento che supporta i titolari del trattamento nell’individuazione dei casi in cui può farsi ricorso a tale base giuridica, indicando i criteri da considerare e focalizzando l’attenzione sul test di valutazione (balancing test o legitimate interest assessment - LIA), con cui si chiede ai titolari, che intendono valersi del legittimo interesse come base giuridica nel trattamento dei dati personali, di vagliare e bilanciare gli interessi in gioco e i diritti fondamentali degli interessati.
Come noto, l'articolo 6(1)(f) del GDPR individua il legittimo interesse come una delle possibili basi giuridiche previste per il trattamento lecito dei dati personali.
Lo EDPB precisa in merito che l’articolo 6(1)(f) del GDPR non dovrebbe essere considerato come "ultima risorsa" per situazioni rare o inaspettate in cui si ritiene che altre basi giuridiche non siano applicabili, né dovrebbe essere scelto automaticamente o il suo utilizzo indebitamente esteso sulla base della percezione che sia meno vincolante di altre basi giuridiche.
Condizioni da rispettare per impiegare il legittimo interesse come base giuridica
Il Comitato evidenzia che per poter fare riferimento al legittimo interesse, il titolare del trattamento deve verificare che siano soddisfatte tre condizioni cumulative:
- In primo luogo, il perseguimento di un legittimo interesse da parte del titolare del trattamento o di una terza parte;
- In secondo luogo, la necessità di elaborare dati personali ai fini del/i legittimo/i interesse/i perseguito/i; e
- In terzo luogo, gli interessi o le libertà e i diritti fondamentali degli interessati non devono avere la precedenza sul/i legittimo/i interesse/i del titolare del trattamento o di una terza parte.
Dunque, per verificare che un dato trattamento di dati personali possa essere basato sull'articolo 6(1)(f) del GDPR, i titolari del trattamento devono valutare attentamente e documentare che queste tre condizioni cumulative sono soddisfatte.
Si tratta di una analisi che deve essere compiuta preventivamente e, dunque, prima del trattamento dei dati interessato.
Lo EDPB precisa poi che possono essere validamente invocati, per fare affidamento sull'articolo 6(1)(f) del GDPR come base giuridica, unicamente quegli interessi legittimi, precisamente articolati e concreti.
Spetta al titolare del trattamento il compito di informare l'interessato dei legittimi interessi perseguiti, laddove intenda basare tale trattamento sull'articolo 6(1)(f) del GDPR.
In buona sostanza, il titolare del trattamento deve, in questi casi, accertare che:
- il trattamento di dati sia necessario per perseguire il suo legittimo interesse;
- il legittimo interesse non leda i diritti e le libertà fondamentali degli interessati.
La nozione di “necessità del trattamento”
Il documento chiarisce cosa debba intendersi per “necessità del trattamento”, sottolineando che siffatto concetto di “necessità” ha un significato autonomo nel diritto dell’Unione Europea, che deve essere interpretato in modo da riflettere pienamente gli obiettivi del diritto alla protezione dei dati.
Pertanto, prima di procedere, occorre valutare i diritti fondamentali alla privacy e alla protezione dei dati personali, nonché i requisiti derivanti dai principi di protezione dei dati.
Valutare cosa sia “necessario” implica accertare se nel concreto gli interessi legittimi di trattamento dei dati perseguiti non possano ragionevolmente essere raggiunti in modo altrettanto efficace con altri mezzi meno restrittivi dei diritti e delle libertà fondamentali degli interessati. Dunque, verificare se esistono alternative ragionevoli, altrettanto efficaci, ma meno invasive, il trattamento non può essere considerato “necessario”.
In questo contesto, il Comitato ricorda quanto affermato anche dalla Corte di Giustizia dell’Unione Europea, secondo cui la condizione relativa alla necessità del trattamento deve essere esaminata congiuntamente al principio di “minimizzazione dei dati” sancito dall’articolo 5(1)(c) del GDPR, in base al quale i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
La Corte ha, inoltre, sottolineato in merito che un trattamento dovrebbe essere effettuato “solo nella misura in cui è strettamente necessario” ai fini dell’interesse legittimo individuato.
Il suddetto requisito di stretta necessità è sottolineato anche, ad esempio, nel considerando 47 del GDPR, in base al quale “[l]a elaborazione dei dati personali strettamente necessaria ai fini della prevenzione delle frodi […] costituisce un legittimo interesse del titolare del trattamento interessato”.
Va notato che, in pratica, è generalmente più facile per un titolare del trattamento dimostrare la necessità del trattamento per perseguire i propri legittimi interessi piuttosto che per perseguire gli interessi di una terza parte, quest'ultimo tipo di trattamento è, in effetti, generalmente meno atteso dagli interessati.
Come condurre un balancing test
Il provvedimento passa poi ad analizzare la metodologia con cui condurre il balancing test, ossia la LIA, spiegando che si può ricorrere a tale base giuridica purchè l'interesse legittimo in questione non annulli se stesso per via degli interessi o dei diritti e delle libertà fondamentali dell'interessato qualora risultassero prevalenti.
Questa condizione implica un bilanciamento dei diritti e degli interessi in questione contrapposti che dipende in linea di principio dalle circostanze specifiche del caso particolare.
Oltre alla valutazione della natura legittima dell'interesse perseguito dal titolare del trattamento o da una terza parte e all'analisi della necessità del trattamento, come descritto sopra, il titolare del trattamento deve pertanto identificare e descrivere:
- Gli interessi, i diritti e le libertà fondamentali degli interessati.
- L'impatto del trattamento sugli interessati, tra cui a. La natura dei dati da trattare, b. Il contesto del trattamento e c. Eventuali ulteriori conseguenze del trattamento.
- Le ragionevoli aspettative dell'interessato.
- Il bilanciamento finale dei diritti e degli interessi contrapposti, inclusa la possibilità di ulteriori misure di attenuazione.
Va ricordato che il fine dell'esercizio di bilanciamento non è quello di evitare del tutto qualsiasi impatto sugli interessi e sui diritti degli interessati, piuttosto, quello di evitare un impatto sproporzionato e di valutare il peso di questi aspetti in relazione tra loro.
Infine, lo EDPB rammenta che, con l'entrata in vigore del GDPR, molte azioni che avrebbero potuto essere considerate per limitare l'impatto del trattamento sui soggetti interessati, o avrebbero potuto essere considerate misure di mitigazione ai sensi della direttiva 95/46/CE, sono ora obblighi legali per il titolare del trattamento.
Ciò è cruciale nel test di bilanciamento, che presuppone che il titolare del trattamento rispetti già i principi e gli obblighi stabiliti nel GDPR.
Come valutare diritti e interessi dell’interessato
A seguire, il provvedimento analizza in che modo il titolare del trattamento deve considerare i diritti e le libertà fondamentali e gli “interessi” dell’interessato nel test di bilanciamento.
Viene precisato che i diritti e le libertà fondamentali degli interessati includono il diritto alla protezione dei dati e alla privacy, ma anche altri diritti e libertà fondamentali, come il diritto alla libertà e alla sicurezza, la libertà di espressione e di informazione, la libertà di pensiero, di coscienza e di religione, la libertà di riunione e di associazione, il divieto di discriminazione, il diritto di proprietà o il diritto all'integrità fisica e mentale, che possono essere interessati dal trattamento, direttamente o indirettamente.
Gli interessi degli interessati da prendere in considerazione come parte del test di bilanciamento comprendono invece qualsiasi interesse che può essere oggetto eal trattamento in questione, inclusi, ma non limitati a, interessi finanziari, interessi sociali o interessi personali.
Cosa si intende per "ragionevoli aspettative" dell’interessato e come valutarle
Inoltre, non vanno tralasciate dall’analisi le ragionevoli aspettative degli interessati rispetto al trattamento, le quali svolgono un ruolo importante nel test di bilanciamento, in particolare per limitare i rischi derivanti dal fatto che gli interessati siano inconsapevolmente sorpresi dal trattamento o dalle sue conseguenze o implicazioni. A questo proposito, è importante distinguere tra la nozione di ragionevoli aspettative e ciò che è considerato prassi comune in determinati settori.
Le linee guida precisano che il mero adempimento degli obblighi informativi stabiliti negli articoli 12, 13 e 14 GDPR non è di per sé sufficiente a ritenere che gli interessati possano ragionevolmente aspettarsi un determinato trattamento, è pertanto necessario illustrare gli elementi contestuali che possono essere considerati nella valutazione delle ragionevoli aspettative degli interessati, come l'esistenza stessa di una relazione con l'interessato (ad esempio, si dovrebbe distinguere tra clienti e non clienti), inclusa la data di cessazione della relazione, ove esistente; o anche la prossimità della relazione (ad esempio, casi in cui un titolare del trattamento fa parte di un gruppo di società con un unico marchio rispetto a un gruppo di società che hanno solo legami economici sconosciuti al cliente medio, poiché in quest'ultimo caso è meno probabile che l'interessato si aspetti ragionevolmente la condivisione dei dati tra entità del gruppo); o ancora il luogo e il contesto della raccolta dei dati (ad esempio, gli interessati potrebbero aspettarsi una videosorveglianza in una banca, ma non in strutture sanitarie o saune); la natura e le caratteristiche del servizio, i requisiti legali applicabili nel contesto pertinente (ad esempio, requisiti di riservatezza applicabili alla relazione pertinente).
L’esercizio dei diritti dell’interessato va effettivamente ed efficacemente protetto
Valutando l’ammissibilità del legittimo interesse come base giuridica, si dovrebbero inoltre adottare misure atte a proteggere l’esercizio dei diritti degli interessati e anche in tal caso, il Comitato prescrive una serie di raccomandazioni rispetto ad ogni diritto.
Infine, vengono considerati una serie di settori e quindi trattamenti in cui è ammesso utilizzare il legittimo interesse come base giuridica, come, ad esempio, le operazioni di direct marketing per le quali il Comitato fornisce utili raccomandazioni e direttive su come procedere nel concreto.