GUIDA NORMATIVA

Le tecniche di balancing test a sostegno del legittimo interesse: regole applicative

Il legittimo interesse rappresenta una base giuridica per un trattamento lecito di dati personali: prima di invocarlo, però, sarebbe utile effettuare un balancing test per individuare il corretto bilanciamento tra gli interessi del titolare e degli interessati. Vediamo come

12 Mag 2020
G
Renato Goretta

Consulente GDPR – DPO


Il tema del bilanciamento degli interessi fra le parti coinvolte nel trattamento dei dati personali è estremamente rilevante e delicato ed è stato ampiamente trattato nella Relazione 2018 del Garante per la protezione dei dati personali: il test di bilanciamento degli interessi (balancing test) ci aiuta e consente di individuare il bilanciamento corretto tra i diversi interessi in gioco.

Il legittimo interesse

La normativa per la protezione dei dati personali, come ben sappiamo, prevede che il trattamento dei dati personali sia lecito solo in alcune specifiche situazioni, elencate agli artt. 6 e 9 del Regolamento europeo 2016/679 (GDPR).

In particolare, le basi giuridiche per un trattamento lecito di dati personali sono:

  1. il consenso dell’interessato;
  2. l’esecuzione di un contratto o di misure precontrattuali di cui è parte l’interessato;
  3. l’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento;
  4. la salvaguardia di interessi vitali dell’interessato o di un’altra persona fisica;
  5. l’esecuzione di un compito di interesse pubblico (o connesso all’esercizio di pubblici poteri) di cui è investito il titolare del trattamento;
  6. il legittimo interesse del titolare o di terzi;

e più precisamente l’art. 6 lett. f) indica che un trattamento di dati personali è lecito se «Il trattamento è necessario per il perseguimento del legittimo interesse del Titolare del trattamento o di terzi, a condizione che non prevalgono gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore».

In sintesi l’interesse deve:

  1. prevalere su quello degli interessati e sui loro diritti e libertà;
  2. essere legittimo;
  3. appartenere al titolare o a terzi.

Si ricordi, inoltre, che il legittimo interesse non può essere invocato isolatamente quale base giuridica per il trattamento delle categorie particolari di dati personali (art. 9, par. 2, del Regolamento).

Da queste prime puntualizzazioni si comprende che la discrezionalità delle valutazioni può essere molto ampia.

Il titolare del trattamento, infatti, deve individuare e definire sia il proprio interesse che quello degli interessati, considerare l’impatto sui loro diritti e libertà e dimostrare inoltre che il suo interesse, o quello di terzi, prevale su quello degli interessati.

Quindi, il legittimo interesse indicato all’art. 6 del GDPR può essere utilizzato quando il trattamento è strumentale a raggiungere lo scopo legittimo perseguito dal titolare del trattamento e nei casi in cui non possa applicarsi nessun’altra delle basi giuridiche previste.

Mentre, non può essere utilizzato per riparare alle situazioni in cui il trattamento è stato già effettuato in mancanza di consenso.

Per utilizzare il legittimo interesse, il titolare del trattamento deve identificare l’interesse legittimo perseguito e documentare le ragioni a favore della scelta di questa base giuridica, compresi i motivi per cui non è possibile utilizzare le altre.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Perciò, per basare un trattamento sul legittimo interesse è necessario dimostrare la prevalenza dell’interesse del titolare o di terzi rispetto a quello degli interessati.

Al tal proposito, è bene ricordare che il Considerando 69 del Regolamento recita che «È opportuno che incomba al Titolare del trattamento dimostrare che i suoi interessi legittimi cogenti prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato», mentre antecedentemente all’entrata in vigore del GDPR, il test di bilanciamento veniva svolto su richiesta dal Garante per la protezione dei dati personali.

Il balancing test: a cosa serve

Procedere con il test di bilanciamento degli interessi (balancing test), dunque, è un’operazione obbligatoria per applicare il legittimo interesse come base giuridica di un trattamento.

Il risultato di questo test ha l’obiettivo di determinare se il legittimo interesse individuato dal titolare del trattamento può essere utilizzato come condizione di liceità per trattare dati personali secondo specifiche finalità.

Solo in caso di esito positivo del test di bilanciamento sarà possibile utilizzare il legittimo interesse previsto dal GDPR come autonoma base giuridica.

Infatti, il balancing test degli interessi potrà avere due esiti:

  1. prevale l’interesse dell’interessato: non può essere effettuato il trattamento;
  2. prevale l’interesse del titolare: può essere effettuato il trattamento anche in assenza di consenso o di altre condizioni di liceità previste dall’art. 6 del Regolamento.

I fattori da considerare nel balancing test

A tal proposito, ci viene in soccorso l’Opinion 6/2014, il documento redatto dal gruppo di lavoro dei Garanti Europei dedicato a questa tematica dove vengono elencati i fattori da considerare durante un balancing test svolto dal titolare del trattamento.

Principalmente il titolare dovrà tener conto di tre fattori:

  1. se il trattamento sia realmente necessario tenendo conto del possibile pregiudizio che ne deriverebbe al titolare qualora non effettuasse il trattamento;
  2. dell’impatto sull’interessato e la sua ragionevole aspettativa a proposito di ciò che accadrà ai suoi dati personali;
  3. della presenza di misure addizionali di protezione dei dati che possano limitare gli impatti del trattamento sull’interessato.

Relativamente al pregiudizio che ne deriverebbe al titolare del trattamento dei dati personali, l’onere probatorio relativo alla dimostrazione di tale pregiudizio resta sullo stesso titolare.

Ma la questione più delicata è quella relativa alle aspettative dell’interessato ovvero su ciò che accadrà ai suoi dati personali, tenendo conto del modo in cui questi dati saranno trattati.

La ragionevole aspettativa

Con la definizione ragionevole aspettativa si intende la probabilità – ragionevolezza – che l’interessato manifesti tali aspettative.

È quindi compito del titolare del trattamento interrogarsi su quali sono le aspettative di un interessato che ha fornito i propri dati personali rispetto al trattamento in essere e valutarne l’impatto senza sottovalutare il livello di rischio di un trattamento.

Sarà pertanto opportuno effettuare una DPIA almeno sul singolo trattamento per il quale si effettua il balancing test.

Infatti, valutare l’impatto di un trattamento significa considerare le conseguenze, attuali e potenziali, positive e negative, che questo potrebbe avere sugli interessati e, suggerisco, sul titolare del trattamento.

Per farlo, dobbiamo sempre considerare che il livello di rischio di un trattamento non è sempre collegato al contenuto del dato stesso, ma anche dalla funzione che svolge.

Per approfondire questo tema, è indispensabile la lettura dei Considerando 75 e 85 del Regolamento che forniscono un elenco dei possibili impatti negativi di un trattamento:

Considerando 75: «I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.»

Considerando 85: «Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. Pertanto, non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo.»

Le misure di sicurezza

Oltre all’impatto è fondamentale verificare tutte le fonti di rischio per la sicurezza del trattamento e tenere conto del numero dei possibili interessati coinvolti, oltre alle conseguenze materiali del trattamento medesimo. Comunque, anche se gli interessati fossero pochi (anche uno solo), è comunque necessario procedere con un balancing test.

La presenza di misure di sicurezza analogiche (adeguata informativa), logiche (pseudonimizzazione) od organizzative (minimizzazione) aiutano a ridurre i rischi di un determinato trattamento, ma spesso non sono sufficienti a superare un eventuale sbilanciamento tra l’interesse del titolare e quello degli interessati; infatti, oltre alle misure di sicurezza – presidi – in essere, sempre nel rispetto del principio di adeguatezza, sarà necessario individuarne di ulteriori al fine di invocare il legittimo interesse.

Infine, è bene ricordare che l’attività di balancing test deve sempre essere documentata e che i presidi di sicurezza devono essere inseriti nel registro dei trattamenti dei dati personali riferendoli a ciascun trattamento per il quale si invoca il legittimo interesse.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Anche da quest’ultima considerazione emerge la necessità per tutte le organizzazioni di dotarsi di un registro dei trattamenti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2