Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Liceità del trattamento

GDPR e legittimo interesse: presupposti per un corretto trattamento dati e applicazioni pratiche

Il titolare del trattamento dati che abbia un legittimo interesse può procedere al trattamento stesso anche in assenza del consenso da parte dell’interessato. Cerchiamo di analizzare i presupposti di questa base giuridica per la liceità del trattamento e vediamo quali possono essere le sue possibili applicazioni

19 Nov 2019
F
Lorenzo Frascotti

Consulente Privacy e DPO


Il legittimo interesse è probabilmente la più incompresa tra le basi giuridiche per la liceità del trattamento di dati personali.

Appare quantomeno lezioso l’indugiare su di un aspetto “basilare” come la liceità del trattamento; eppure, l’esperienza porta a ritenere che siano in molti a non comprendere l’importanza dell’art. 6 del Reg. UE 679/2016 (GDPR): consensi illeciti fatti firmare dai datori di lavoro, dai medici, dagli avvocati; legittimo interesse applicato al marketing, alla profilazione; pubbliche amministrazioni nell’esercizio delle proprie funzioni che chiedono il consenso.

Esempi di cattiva comprensione della liceità del trattamento se ne possono annoverare a bizzeffe.

Il legittimo interesse alla luce del GDPR

Come dicevamo, la più incompresa (e per questo pericolosa) è il “legittimo interesse” del titolare che riscontriamo all’art. 6 comma 1 lettera f). Lo scrivente si è risolto a redigere questo articolo dopo che l’ennesimo collega, operante in qualità di RPD in una grande realtà aziendale italiana, ha osato giustificare con lo stesso l’attività di marketing con strumenti automatizzati e su soggetti non ancora clienti.

Il punto f) del Comma 1 dell’art. 6 è l’ultimo contemplato dal Regolamento. La sua posizione ultima fra i casi ammessi dall’art. 6 non è un caso, dal momento che rappresenta senza dubbio l’extrema ratio a cui si può appellare il titolare del trattamento nonché il caso certamente più “evanescente” e facilmente travasabile.

Sono addirittura tre i Considerando spesi dal legislatore europeo per meglio precisare la seguente affermazione riportata al punto f): “il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”.

Nel D.lgs. 196/2003 il “legittimo interesse” doveva essere riconosciuto dall’Autorità Garante tramite apposita istanza di riconoscimento avanzata dal titolare o tramite casi già individuati come tali dal Garante stesso (art. 24, Comma 1, punto -g-).

Col Regolamento, in ottemperanza al principio di responsabilizzazione (accountability), è il titolare a dover valutare se sussista il “legittimo interesse”.

I presupporti per il legittimo interesse

Come già affermato, il primo presupposto per il “legittimo interesse” è il suo essere extrema ratio. Ossia, qualora l’interesse perseguito dal titolare possa essere raggiunto (anche se in maniera più difficoltosa) tramite un’altra base di liceità, il “legittimo interesse” non avrebbe luogo.

Il secondo presupposto è il seguente: qualora il mancato trattamento di dati personali causerebbe un forte pregiudizio al titolare e, come detto, non vi fossero altre possibili basi di liceità cui far riferimento. I casi in tal senso individuati dalla normativa sono: la prevenzione delle frodi, i trasferimenti di dati all’interno di un gruppo di imprese per fini amministrativi, la sicurezza delle reti informatiche.

Prima di spiegare i tre casi individuati dalla normativa quali esempi, è bene precisare un altro presupposto essenziale: deve sussistere un perfetto equilibrio fra il danno che patirebbe il titolare nel non procedere al trattamento e il danno che ne riceverebbe l’interessato qualora il trattamento avesse luogo (principio di “proporzionalità”).

Per spiegare un simile concetto è bastevole un esempio di tutti i giorni. Una società che fa marketing assume un dipendente al solo scopo di scaricare dal web tutti i dati personali degli utenti di Facebook iscritti al gruppo “Pizza Forever”, per procedere ad una campagna pubblicitaria commissionata da una catena di pizzerie.

Se la società di marketing non procedesse ad un simile trattamento di dati personali (la raccolta e il contatto) ne avrebbe senza dubbio un danno economico. Ma se procedesse al trattamento, quale danno arrecherebbe agli iscritti del gruppo Facebook?

Certamente sarebbe una violazione del loro diritto alla riservatezza, dal momento che “la mera disponibilità online di un dato non ne costituisce pubblicità” (come affermato dal Garante).

Può, dunque, sussistere un bilanciamento fra il presunto “legittimo interesse” della società di marketing e i diritti e le libertà degli Interessati (gli iscritti al gruppo Facebook)? In questo caso assolutamente no: il titolare può perseguire i suoi interessi acquisendo una banca dati autorizzata al marketing da un rivenditore affidabile, piuttosto che profilare dal web i potenziali clienti che sono su Facebook.

Alcuni esempi pratici

Per far comprendere la differenza fra l’esempio sopra riportato e l’effettiva sussistenza del “legittimo interesse”, basta riportare l’esemplificazione del Considerando 47 che afferma: “Costituisce […] legittimo interesse del titolare del trattamento interessato trattare dati personali strettamente necessari a fini di prevenzione delle frodi”.

Ad esempio: una società finanziaria non riceve più pagamenti da un cliente che ha contratto con essa un debito pari a diecimila euro. Cerca di contattarlo ma inutilmente: si è reso irreperibile. A quel punto la società finanziaria ha due strade: o rinuncia ad incassare e accetta di riceverne un danno economico, oppure cerca di rintracciare il debitore con ogni mezzo lecito.

Riesce a individuarlo grazie al suo profilo Facebook e lo contatta tramite il social network stesso. È assolutamente evidente che sussista il “legittimo interesse” in tal caso. Infatti, il danno patito dal debitore (l’essere stato importunato tramite un mezzo di contatto non espressamente acconsentito) è proporzionale al danno che avrebbe subito la società finanziaria nel rinunciare ad un simile trattamento di dati personali.

Supponiamo ora che il debito fosse di soli cinquanta euro e che la società finanziaria, allo scopo di rintracciarlo, lo contatti su Facebook. In questo caso, il legittimo interesse della società (il titolare) è difatti ben poco proporzionale ai diritti e alle libertà dell’Interessato (il debitore).

Il secondo caso contemplato dalla normativa europea riguardo al “legittimo interesse” è enunciato al Considerando 48: “I titolari del trattamento facenti parte di un gruppo imprenditoriale o di enti collegati a un organismo centrale possono avere un interesse legittimo a trasmettere dati personali all’interno del gruppo imprenditoriale a fini amministrativi interni, compreso il trattamento di dati personali dei clienti o dei dipendenti”.

Esempio: una holding è composta da quattro aziende tutte con amministrazione principale in Unione Europea. Per razionalizzare i costi e le procedure burocratiche, si trasferisce il comparto Human Resource di tutte le quattro società centralizzandolo in una sola delle quattro aziende. Ciò, secondo il Regolamento, rientrerebbe nel “legittimo interesse” dei titolari.

Per apprezzarne meglio il senso, applicheremo lo stesso ragionamento effettuato per il punto precedente. Se le società dell’holding non procedessero ad un’operazione simile quale danno economico e funzionale ne avrebbero?

Certamente, sarebbero costretti a duplicare le funzioni, gli uffici, a limitare l’operatività interna etc. Sarebbe, senza dubbio, dannoso per l’holding.

Ma che danno ne avrebbero gli interessati, ossia i dipendenti, a causa del trasferimento interno di dati? A parere di chi scrive nessuno. Il Considerando 47 afferma che: “Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento”, e più in là “tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento”.

È assolutamente evidente che in questo caso:

  1. vi è una relazione innegabile fra titolari e interessati (“potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento” Considerando 47);
  2. gli interessati sono pienamente coscienti di lavorare in una holding;
  3. gli interessati possono ragionevolmente aspettarsi che l’amministrazione HR venga centralizzata e i loro dati condivisi all’interno della holding stessa;
  4. il danno patito dagli interessati è infinitesimale rispetto a quello che avrebbero potuto subire i titolari se non avessero proceduto al trasferimento interno.

Dato che nel caso fornito dal Considerando 48 non si ravvisa alcun nocumento per gli interessati se non minimale, e dato che il caso portato dal Considerando medesimo soddisfa i requisiti di “relazione pertinente e appropriata tra l’interessato e il titolare del trattamento” e “ragionevole aspettativa”, tale trattamento avrà quale base giuridica il “legittimo interesse”.

Diritto alla riservatezza e diritti dei lavoratori

Come si può constatare, giunti a questo punto, il “legittimo interesse” è una bella gatta da pelare.

Il terzo caso contemplato nei Considerando è contenuto nel quarantanovesimo: “Costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell’informazione, vale a dire la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comunicazione elettronica e fornitori di tecnologie e servizi di sicurezza. Ciò potrebbe, ad esempio, includere misure atte a impedire l’accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da «blocco di servizio» e ai danni ai sistemi informatici e di comunicazione elettronica”.

In realtà, con questo Considerando si sta entrando nel difficoltoso mondo del rapporto fra diritto alla riservatezza e diritti dei lavoratori, un tema senza dubbio complesso soprattutto a fronte dell’enorme mole di documenti che sono stati finora prodotti sull’argomento.

Lungi da noi il voler intraprendere tale avventura insieme al lettore (senza dubbio ci riserveremo di scrivere al riguardo in un documento separato rispetto al presente articolo), cercheremo di sintetizzare i contenuti.

La sintesi più autorevole ci giunge dal Gruppo di Lavoro Ex Articolo 29 (di seguito “WP29”) nella “Opinion 2/2017 on data processing at work”, un documento che rappresenta una summa dell’interpretazione del Regolamento in rapporto ai diritti dei lavoratori.

Tale parere va ad integrare una già ricca produzione del WP29 sul tema (vedi WP48 e WP55), nonostante i Garanti Europei affermino correttamente che “Dalla pubblicazione di questi documenti sono state adottate una serie di nuove tecnologie che consentono un trattamento più sistematico dei dati personali dei dipendenti sul posto di lavoro, creando sfide significative alla privacy e alla protezione dei dati”.

Esempio. Un datore di lavoro intende istallare sulla propria rete aziendale un sistema di cosiddetta data loss prevention, ossia un meccanismo informatico che monitori in tempo reale le fughe di dati personali di cui è titolare attraverso le e-mail aziendali dei lavoratori.

In sostanza, egli fa predisporre un sistema che “legge” tutte le e-mail in uscita e riesce a riconoscere quelle che contengono liste di clienti, liste di fornitori, liste di dipendenti ecc., al fine di evitare che il dipendente disattento o addirittura infedele causi, nei fatti, un data breach.

Dopo aver riconosciuto la minaccia, il sistema informatico blocca l’e-mail in uscita. Tale sistema, di primo acchito, apparirebbe assolutamente legittimo. Tuttavia, il titolare del trattamento deve mettere in atto tutta una serie di misure volte ad evitare che esso sia “sbilanciato” e non tuteli i diritti del lavoratore.

Per farla breve, il sistema così com’è impostato è assolutamente sbilanciato verso le prerogative del titolare del trattamento.

Legittimo interesse e principio di proporzionalità

Abbiamo visto poc’anzi quanto una delle caratteristiche del “legittimo interesse” sia, per l’appunto, l’assoluta proporzione fra il danno che potenzialmente potrebbe subire il titolare se non procedesse al trattamento dei dati e il danno patito dall’interessato a causa del trattamento stesso.

In questo caso, il lavoratore (l’interessato) subirebbe un pregiudizio sproporzionato al potenziale danno che verrebbe recato al titolare del trattamento (il datore di lavoro) qualora il trattamento (il blocco delle e-mail sospette in uscita) non avesse luogo.

Sono difficili da comprendere le sottigliezze in cui ci stiamo impegolando, tuttavia è utile far presente che il datore di lavoro in questione avrebbe altre strade per perseguire il proprio risultato: formazione dei lavoratori, istruzioni scritte, regolamenti aziendali, sistemi di auditing interno, o più semplicemente potrebbe avvisare con un semplice pop-up che la e-mail in uscita “potrebbe” contenere dati personali e richiedere al lavoratore di cliccare nuovamente su “invia”, tenendo traccia dell’accaduto.

Quest’ultimo suggerimento rappresenta di fatto il perfetto bilanciamento: da un lato si evita il rischio di cosiddetti “falsi positivi” (ossia e-mail che, effettivamente, non contengono dati personali ma che il software identifica come tali – e quindi il loro blocco in uscita costituirebbe un forte pregiudizio per il lavoratore -), dall’altro il datore di lavoro ha intrapreso una misura atta a scoraggiare eventuali fughe di dati personali. Certo, non efficace come l’effettivo blocco dell’e-mail in uscita, ma comunque utile.

Il problema di fondo sta proprio nel fatto che i datori di lavoro, molto spesso, non comprendono i propri limiti. Il loro diritto a proteggere gli asset aziendali (come lo sono i dati personali di clienti, fornitori e dipendenti) si deve fermare laddove incominciano quelli dei lavoratori.

Corretto bilanciamento con diritti e libertà degli interessati

Un altro caso (questa volta limite) è quello degli strumenti ad uso “promiscuo”. In molte aziende la carenza di possibilità economiche impone ai lavoratori di far uso di computer, tablet e cellulari personali a scopi lavorativi.

Alcuni datori di lavoro impongono ai propri impiegati di consegnare questi strumenti affinché vi siano istallati appositi software di sicurezza. E fin qui, se il lavoratore acconsente, nessun problema. Il problema sorge quando su di essi vengono istallati software di controllo remoto degli accessi o, peggio, sistemi di data loss prevention che impattano anche sull’utilizzo personale del device. È evidente che si tratti di un’invasione della sfera personale assolutamente intollerabile.

Come bilanciare in questo caso la faccenda? La scappatoia, se vogliamo, è riconoscere i limiti imposti dalla normativa e accettare un grado di sicurezza più basso, piuttosto che ledere i diritti dei lavoratori. Piuttosto, si faccia leva sui Regolamenti per la Protezione dei Dati Personali, su apposite nomine a responsabile del trattamento, su istruzioni dettagliate e sulla formazione. Si faccia leva, ossia, sulla “dissuasione” piuttosto che sull’informatica.

Tuttavia, bisogna affermare che il “legittimo interesse” di un titolare che intende proteggere la propria rete aziendale è sacrosanto, ma va bilanciato molto sapientemente con i diritti e le libertà dei lavoratori. E questo è un esercizio senza dubbio arduo.

Un altro esempio è la localizzazione dei mezzi aziendali, allo scopo di analizzare consumi, percorsi e individuare comportamenti non economici, o sistemi di badge basati su applicazioni che rilevano la posizione GPS del lavoratore.

La recente riforma dell’art. 4 dello Statuto dei Lavoratori ha reso possibile una forma di “monitoraggio a distanza dei lavoratori” basata sul legittimo interesse, a condizione che la stessa sia proporzionale, necessaria e che presenti opportune garanzie che limitino al minimo accettabile i rischi per i diritti e le libertà dei lavoratori.

Stiamo sempre più comprendendo quanto il legittimo interesse sia sempre da accompagnarsi ad una valutazione di impatto preventiva (DPIA) ex art. 35 Reg. UE 679/2016.

Il legittimo interesse e il marketing diretto

La questione del “legittimo interesse” trova il suo acme in questa affermazione che, ad una prima lettura, fa rizzare i capelli: “Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.

La prima reazione che si ha leggendo quest’affermazione del Considerando 47 è la caduta di un mito: il marketing diretto, l’unico settore in cui la privacy venga sempre appellata quale panacea a tutti i problemi esistenziali dei consumatori tartassati da offerte commerciali, può avere base di liceità del trattamento nel “legittimo interesse”?

Ma allora chiunque dimostrasse che la propria campagna marketing sia proporzionale ai diritti e alle libertà degli Interessati, potrebbe agire indisturbato. No di certo. Il legislatore non ha preso un abbaglio, né ha osato troppo.

È il contesto a permettere di comprenderne il senso: deve esistere una “relazione pertinente e appropriata tra l’interessato e il titolare del trattamento” e la “ragionevole aspettativa” che il titolare tratterà i dati in un certo modo.

Il caso che viene citato dal Considerando 47, oltre al rapporto fra datore di lavoro e dipendente, è “quando l’interessato è un cliente”.

Per fugare ogni dubbio, forniremo un esempio molto semplice. Una catena di negozi di moda propone la tessera punti elettronica, per ottenere la quale è necessaria la compilazione di un modulo in cui sono richiesti alcuni dati personali essenziali.

In base ai dati ottenuti, ogni anno, in occasione dei saldi, la catena di negozi invia ai propri iscritti la pubblicità contenente i prodotti scontati e un’ulteriore sconto del 20% per i possessori della tessera.

Questo è un pacifico caso di trattamento di dati personali a scopi di marketing diretto basato su “legittimo interesse”, poiché soddisfa in pieno i cinque requisiti richiesti dal Considerando 47:

  1. esistenza di una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, o l’interessato è già cliente del titolare;
  2. l’interessato, nel momento in cui ha accettato di fare la tessera punti elettronica, aveva la ragionevole aspettativa che tali dati servissero ad azioni pubblicitarie;
  3. la circostanza è stata comunicata nell’informativa resa al momento del rilascio della tessera;
  4. la frequenza delle comunicazioni commerciali da parte del titolare all’interessato non è tale da pregiudicare in alcun modo i diritti e le libertà dell’Interessato se non in maniera minimale e comunque proporzionata alle prerogative del titolare;
  5. è consentito all’Interessato di esercitare i propri diritti in qualunque momento.

Nel caso in cui non fosse sussistita almeno una delle cinque condizioni di cui sopra, il trattamento non solo non avrebbe potuto avere quale base giuridica il “legittimo interesse”, ma per giunta sarebbe considerato illecito.

Una variante dell’esempio di cui sopra potrebbe essere: la stessa catena di negozi di moda con la stessa tessera punti elettronica propone ai possessori della tessera medesima l’offerta “porta un amico” per cui, fornendo l’indirizzo e-mail di un proprio amico, questi riceve una comunicazione contenente un codice sconto del valore di € 30,00.

In questo caso, è pacifico che non sussista alcuna relazione “pertinente e appropriata” fra la catena di negozi di moda e gli amici dei propri tesserati.

Pertanto, se il negozio volesse procedere ad una simile campagna promozionale dovrebbe basare la propria liceità del trattamento sul consenso espresso dagli amici dei propri tesserati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5