Legittimo interesse: basi normative per definirne la corretta applicazione - Cyber Security 360

LA RIFLESSIONE

Legittimo interesse: basi normative per definirne la corretta applicazione

Una lettura attenta del GDPR dimostra come l’applicazione del legittimo interesse non possa essere invocato per qualsivoglia trattamento. Ecco una riflessione sulle basi normative che consentono una corretta applicazione del principio di liceità del trattamento

05 Mag 2020
T
Giuseppina Terzoli

GDPR consultant

Partendo da una base normativa è utile spiegare come mai il legittimo interesse non possa essere considerato la “panacea di tutti i mali”, invocandolo per qualsivoglia trattamento anche ad insaputa dell’interessato, qualora i suoi dati personali fossero trattati per finalità a lui non comunicate, ma note unicamente al titolare del trattamento.

Legittimo interesse: cosa dicono le norme

Partiamo dal considerando 47 del Regolamento UE 2016/679 (GDPR) che prevede quanto segue:

I legittimi interessi di un Titolare del trattamento, compresi quelli di un Titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’Interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento. Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’Interessato è un cliente o è alle dipendenze del titolare del trattamento. In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine. Gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali. Posto che spetta al legislatore prevedere per legge la base giuridica che autorizza le autorità pubbliche a trattare i dati personali, la base giuridica per un legittimo interesse del titolare del trattamento non dovrebbe valere per il trattamento effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti. Costituisce parimenti legittimo interesse del titolare del trattamento interessato trattare dati personali strettamente necessari a fini di prevenzione delle frodi. Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.

Continuando la lettura del GDPR, al Capo II “Principi” – Articolo 6 “Liceità del trattamento”, il Regolamento (UE) 2016/679 diche che:

  1. il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
  2. l’Interessato ha espresso il consenso […];
  3. il trattamento è necessario all’esecuzione di un contratto di cui l’Interessato è parte, […];
  4. il trattamento è necessario per adempiere un obbligo legale […];
  5. il trattamento è necessario per la salvaguardia degli interessi vitali dell’Interessato […];
  6. il trattamento è necessario per l’esecuzione di un compito di interesse pubblico […];
  7. il trattamento è necessario per il perseguimento del legittimo interesse del Titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’Interessato che richiedono la protezione dei dati personali, in particolare se l’Interessato è un minore (C47-C50).

Alcune considerazioni sul legittimo interesse

Soffermandosi alla sola lettura del GDPR ci accorgiamo di come la norma, ripetutamente, anteponga gli interessi o i diritti e le libertà fondamentali dell’interessato alla mera applicazione del legittimo interesse del titolare del trattamento.

Potremmo quindi immaginare un iter di questo tipo:

  • anche in funzione dell’oggetto sociale, il titolare del trattamento valuta ogni aspetto della strategia di azione che intende intraprendere, prima della sua attuazione. Tale valutazione comincia con la raccolta e l’analisi dei documenti prodotti da tutti gli attori coinvolti, siano essi interni o esterni; tra i documenti rientrano ad es. il contratto tra le parti, gli addendum che regolamentano talune situazioni, eventuali manuali operativi ecc.;
  • la valutazione della strategia di azione comporta due attività:
  1. la produzione di un documento, che resta agli atti della società, che manifesta la volontà del Titolare di “dominare” l’intero processo che intende attuare e che comprende un’oggettiva valutazione del rischio e la formale quantificazione dell’investimento economico necessario ad adeguare by design/by default il processo (es. offerta fornitore);
  2. la produzione e la consegna all’Interessato di una nuova informativa privacy, per declinare, tenuto conto che il trattamento si basa sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal Titolare del trattamento o da terzi. Tale informativa non prevede la raccolta del consenso espresso, e può essere evitata unicamente nel caso in cui vi sia una impossibilità oggettiva e documentata a che il Titolare del trattamento informi con mezzi non spropositati l’Interessato.
WHITEPAPER
Protezione dei dati e backup: come valutare le diverse soluzioni prima dell’acquisto
Backup
Sicurezza dei dati

È fondamentale, infatti, ricordare che tra i diritti riconosciuti dal Regolamento all’interessato, l’articolo 21 GDPR “Diritto di opposizione”, al paragrafo 1. attribuisce all’interessato il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) ed f) […].

Conclusioni

In sintesi, la mancata richiesta del consenso espresso dell’interessato non impedisce all’interessato stesso di opporsi al trattamento.

Per il corretto e completo apprezzamento delle attività di cui sopra è necessario che la società coinvolga funzioni e/o professionisti aventi precise e diverse competenze, che collaborino sviluppando ciascuno il proprio perimetro di azione, Legale per gli aspetti giuridici, Information Technology per gli aspetti tecnici.

Qualora, fatte tutte le debite valutazioni, il titolare del trattamento ritenga lecito applicare il principio del “legittimo interesse”, è opportuno ricordare che in capo al titolare del trattamento permane la responsabilità della scelta di esecuzione del trattamento, e dunque:

  • la responsabilità civile – a meno che non dimostri che l’evento dannoso non gli è in alcun modo imputabile;
  • la responsabilità amministrativa – secondo quanto contemplato dal GDPR;
  • la responsabilità penale – secondo quanto integrato dal D.lgs. 196/2003 aggiornato al D.lgs. 101/2018.

@RIPRODUZIONE RISERVATA