GUIDA NORMATIVA

Legittimo interesse, quando e come invocarlo per trattare lecitamente i dati personali: il “triplice test”

Nel recente provvedimento emesso dal Garante Privacy nei confronti di TikTok”, tra varie interessanti argomentazioni risalta il riferimento a specifiche valutazioni che il titolare del trattamento deve fare per invocare come base giuridica il legittimo interesse, in relazione al c.d. “triplice test” così come enucleato dalla Corte di Giustizia dell’Unione europea nella sentenza C 13/16 Rīgas satiksmea. Vediamo di cosa si tratta e come va eseguito questo triplice test

25 Lug 2022
A
Giuseppe Alverone

DPO dell'Arma dei Carabinieri. Certificato UNI 11697:2017

Il Garante per la protezione dei dati personali, con un recentissimo provvedimento d’urgenza adottato nei confronti di TikTok[1] ha avvertito la piattaforma che è illecito utilizzare dati personali archiviati nei dispositivi degli utenti per profilarli e inviare loro pubblicità personalizzata, sulla base di non meglio precisati “legittimi interessi” di TikTok e dei suoi partner.

Il provvedimento fornisce molteplici interessanti spunti di riflessione, tra i quali risalta il riferimento a specifiche valutazioni, che il titolare deve fare per invocare come base giuridica il legittimo interesse, in relazione al c.d. “triplice test”, così come enucleato dalla Corte di Giustizia dell’Unione europea nella sentenza C 13/16 Rīgas satiksmea.

Esaminiamo la sentenza e il “triplice test”.

Garante Privacy a TikTok, “stop pubblicità personalizzata”: ecco perché

La sentenza della Corte di Giustizia UE

Nel dicembre 2012 (essendo vigente la Direttiva 95/46/CE), si era verificato un sinistro stradale a Riga, Capitale della Lettonia. Un tassista aveva parcheggiato il suo veicolo al bordo della strada. Mentre un filobus della Rīgas satiksme passava accanto al taxi, il passeggero minorenne che occupava il sedile posteriore del medesimo aveva aperto la portiera e questa aveva urtato il filobus, danneggiandolo.

WHITEPAPER
Automazione e validazione dei software? L'AI fa la differenza!
Intelligenza Artificiale
Software

Tale incidente aveva dato luogo all’avvio del procedimento per infrazione amministrativa e alla corrispondente verbalizzazione.

Inizialmente, ritenendo che il menzionato incidente fosse imputabile al tassista, la Rīgas satiksme aveva chiesto un risarcimento alla compagnia presso la quale era assicurato per la responsabilità civile il proprietario o utilizzatore legittimo del taxi in questione.

Tuttavia, detta compagnia assicurativa aveva comunicato alla Rīgas satiksme che non avrebbe pagato alcun indennizzo, in quanto l’incidente era stato provocato dal passeggero e non dal conducente del taxi. Essa aveva anche precisato che la Rīgas satiksme avrebbe potuto agire in sede civile nei confronti di detto passeggero. La Rīgas satiksme si era quindi rivolta alla polizia nazionale, alla quale aveva chiesto:

  1. di fornirle informazioni sulla persona nei cui confronti era stata elevata la sanzione amministrativa per il sinistro;
  2. di trasmetterle copia delle dichiarazioni del conducente del taxi e del passeggero sulle circostanze dell’incidente;
  3. di comunicarle nome, cognome, numero del documento di identità e domicilio del passeggero del taxi.

Nell’occasione la Rīgas satiksme aveva precisato alla polizia nazionale che le informazioni richieste sarebbero state utilizzate esclusivamente ai fini dell’azione civile.

La polizia nazionale aveva accolto solo parzialmente la domanda della Rīgas satiksme, fornendole nome e cognome del passeggero, ma rifiutando di comunicarle il numero del documento di identità e il domicilio di tale persona.

Non erano nemmeno state trasmesse le copie delle dichiarazioni delle persone coinvolte nell’incidente, ritenendo che in relazione alla normativa eurounitaria e nazionale sulla privacy non fosse sussistente un legittimo interesse della Rīgas satiksme a ricevere comunicazione delle informazioni richieste, anche nella considerazione che, al momento del sinistro, il passeggero del taxi di cui la Rīgas satiksme intendeva ottenere i dati era minorenne.

In seguito allo sviluppo di un contenzioso, la questione era stata rinviata alla CGUE la quale ha stabilito che affinché possa riconoscersi la sussistenza di un legittimo interesse che renda lecito un trattamento di dati personali, come e.g. ricevere comunicazione di dati personali, l’articolo 7, lettera f), della abrogata Direttiva 95/46 [che ricalca l’art. 6, paragrafo 1, lettera f) del GDPR], prevede tre condizioni cumulative, i.e.:

  1. il perseguimento dell’interesse legittimo del titolare del trattamento oppure del o dei terzi cui vengono comunicati i dati;
  2. la necessità del trattamento dei dati personali per il perseguimento dell’interesse legittimo;
  3. la condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata dalla tutela dei dati.

Il “triplice test” per invocare il legittimo interesse come base giuridica

La verifica di queste tre condizioni costituisce proprio il “triplice test” a cui fa riferimento l’Autorità Garante nel suo provvedimento.

Il perseguimento dell’interesse legittimo del titolare o di terzi

Il primo test da eseguire consiste nel verificare l’effettiva sussistenza di un interesse legittimo del titolare o di terzi che deve essere esplicitato.

Un’indicazione operativa viene offerta proprio dalla sentenza della CGUE ove si afferma che, e.g., non vi è alcun dubbio che l’interesse di un terzo a ottenere le informazioni personali di una persona che ha danneggiato la sua proprietà, al fine di agire nei confronti di tale persona per ottenere il risarcimento dei danni, costituisca un interesse legittimo.

Tale analisi è suffragata dall’articolo 8, paragrafo 2, lettera e), della abrogata Direttiva 95/46 [conforme all’attuale art. 9, paragrafo 2, lettere e) ed f) del GDPR], il quale prevede che il divieto del trattamento di talune categorie di dati personali, come quelli che rivelano l’origine razziale o le opinioni politiche, non è applicabile qualora il trattamento riguardi dati resi manifestamente pubblici dalla persona interessata o sia necessario per costituire, esercitare o difendere un diritto per via giudiziaria.

Per eseguire questo primo test è possibile utilizzare la prima parte del template per la LIA (Legitimate Interests Assessment) reso disponibile dall’ICO, Autorità di Controllo britannica sul proprio sito istituzionale e di seguito riportata.

È necessario valutare se esista un interesse legittimo dietro il trattamento.

    1. Perché vuoi trattare i dati?
    2. Quali vantaggi ti aspetti dal trattamento?
    3. I terzi traggono beneficio dal trattamento?
    4. Ci sono benefici pubblici più ampi nel trattamento?
    5. Quanto sono importanti i vantaggi che hai identificato?
    6. Quale sarebbe l’impatto se non potessi procedere con l’elaborazione?
    7. Stai rispettando le norme specifiche sulla protezione dei dati che si applicano al tuo trattamento (ad es. Requisiti di profilazione o legislazione sulla privacy elettronica)?
    8. Stai rispettando altre leggi pertinenti?
    9. Stai rispettando le linee guida o i codici di condotta del settore?
    10. Ci sono altri problemi etici con l’elaborazione?

La necessità del trattamento

Il secondo test concerne la condizione relativa alla necessità del trattamento dei dati. A tal fine si deve ricordare che le deroghe alla tutela dei dati personali e le limitazioni della stessa devono avvenire nei limiti dello stretto necessario.

Così e.g., riguardo la vicenda oggetto della sentenza in esame, occorre constatare che la comunicazione unicamente del nome e del cognome dell’autore del danno non consente di identificare tale autore in maniera sufficientemente precisa da poter agire giudizialmente nei suoi confronti.

Appare quindi necessario ottenere a tal fine anche l’indirizzo e/o il numero del documento di identità di tale persona.

Di seguito viene riportata la seconda parte del modello di LIA posto a disposizione da ICO, utile all’esecuzione di questo secondo test.

Devi valutare se il trattamento è necessario per lo scopo che hai identificato.

    1. Questo trattamento ti aiuterà effettivamente a raggiungere il tuo scopo?
    2. Il trattamento è proporzionato a tale scopo?
    3. È possibile raggiungere lo stesso scopo senza il trattamento?
    4. È possibile raggiungere lo stesso scopo trattando meno dati o trattando i dati in un altro modo più ovvio o meno invadente?

La ponderazione dei diritti e degli interessi contrapposti al legittimo interesse

Infine, il terzo test concerne la condizione relativa a una ponderazione dei diritti e degli interessi contrapposti al legittimo interesse. Tale ponderazione dipende, in linea di principio, dalle circostanze specifiche del caso concreto.

Occorre rilevare che l’età della persona interessata può costituire uno degli elementi di cui è opportuno tener conto nell’ambito di tale ponderazione. Non a caso l’art. 6, paragrafo 1, lettera f) del GDPR, nel porre l’obbligo di effettuare un balancing test tra l’interesse legittimo ed i diritti e libertà fondamentali degli interessati, raccomanda, specificamente, particolare attenzione se l’interessato è un minore.

Comunque nella sentenza della CGUE in esame viene anche constatato che non appare giustificato, nella citata vicenda, rifiutare di comunicare a una parte lesa dati personali necessari per proporre un ricorso per risarcimento contro l’autore del danno o, se del caso, contro le persone che esercitano la potestà genitoriale qualora detto autore sia minorenne.

Di seguito la terza parte del template, utile ad eseguire il terzo test.

Devi considerare l’impatto sugli interessi, i diritti e le libertà delle persone e valutare se ciò prevale sui tuoi interessi legittimi.

Natura dei dati personali

    1. Sono dati ex art. 9 o 10 GDPR?
    2. Sono i dati che le persone probabilmente considereranno particolarmente “private”?
    3. Stai trattando dati di minori o quelli relativi ad altre persone vulnerabili?
    4. I dati sulle persone riguardano la loro capacità personale o professionale?

Aspettative ragionevoli

    1. Hai una relazione preesistente con l’individuo?
    2. Qual è la natura della relazione e come hai utilizzato i dati in passato?
    3. Hai raccolto i dati direttamente dall’individuo? Cosa gli hai detto in quel momento?
    4. Se hai ottenuto i dati da una terza parte, cosa hanno detto alle persone del riutilizzo da parte di terzi per altri scopi e questo ti copre?
    5. Quanto tempo fa hai raccolto i dati? Da allora ci sono cambiamenti nella tecnologia o nel contesto che potrebbero influenzare le aspettative?
    6. Lo scopo e il metodo previsti sono ampiamente compresi?
    7. Hai intenzione di fare qualcosa di nuovo o innovativo?
    8. Hai qualche prova delle aspettative, ad esempio ricerche di mercato, focus group o altre forme di consultazione?
    9. Vi sono altri fattori nelle circostanze particolari che indicano che si aspetterebbero o meno il trattamento?

Possibile impatto

    1. Quali sono i possibili impatti del trattamento sulle persone?
    2. Le persone perderanno il controllo sull’uso dei loro dati personali?
    3. Qual è la probabilità e la gravità di qualsiasi potenziale impatto?
    4. È probabile che alcune persone si oppongano al trattamento o lo trovino invadente?
    5. Saresti felice di spiegare il trattamento alle persone?
    6. È possibile adottare garanzie per ridurre al minimo l’impatto?

puoi consentire ai singoli un opt-out?

Utilizzo dei risultati del “triplice test”

Se l’esito dell’esecuzione del “triplice test” risulta positivo il titolare potrà invocare il legittimo interesse come base giuridica per il trattamento.

Dovrebbe, però, anche aver cura di inserire detto esito all’interno della relativa informativa come prescritto dall’art. 13, paragrafo 1, lettera d) e dall’art. 14, paragrafo 2, lettera b) del GDPR.

Così, e.g., nel disegnare un processo aziendale per gestire un sistema di videosorveglianza basato sul legittimo interesse, lo stesso titolare dovrebbe inserire il documento contenente le valutazioni relative all’esecuzione del “triplice test” nelle “informazioni di secondo livello”, da porre sul sito web o sul Portale e da collegare ad un codice QR o a un indirizzo web riportato sulla prescritta segnaletica che contiene le “informazioni di primo livello”.

 

NOTE

  1. Provv. GPDP n. 248 del 7 luglio 2022 [doc. web n. 9788429].

WEBINAR
20 Settembre 2022 - 12:00
Principali minacce digitali: quali sono e come proteggerci per il nuovo anno 2023
Sicurezza
Storage
@RIPRODUZIONE RISERVATA

Articolo 1 di 5