GDPR: Il legittimo interesse: una nuova figura nel mondo della Privacy

Come definire il legittimo interesse, verificare la sua compatibilità con i principi del Regolamento UE 2016/679 e valutare la sua applicabilità a un nuovo trattamento dei dati.

Il Regolamento UE 2016/679 introduce una nuova causa di liceità dei trattamenti di dati personali effettuati dal titolare, prevedendo che questi possano trovare fondamento nel legittimo interesse del titolare. Una fattispecie che ha subito suscitato numerose interpretazioni in ragione del possibile abuso che potrebbero farne i titolari al fine di giustificare il loro agire.

Il “legittimo interesse” così come definito ai sensi dell’articolo 6 del G.D.P.R. al numero 1, lettera F, è una fattispecie non presente nel Codice della Privacy – D.Lgs 196/2003 – che introduce nell’ordinamento una nuova condizione affinché il trattamento dei dati sia lecito.

Oltre le “condizioni” del consenso espresso dell’interessato, dell’esecuzione di un contratto e dell’obbligo di legge, il legislatore europeo prevede che il trattamento di dati personali possa essere effettuato in maniera lecita qualora sia “necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedano la protezione dei dati personali, in particolare se l’interessato è un minore”.

Per meglio definire il perimetro di questo nuovo istituto e per evitare che possa essere considerato alla stregua di una condizione residuale all’interno della quale il Titolare possa far ricadere quei trattamenti che potrebbero essere considerati al limite del lecito, il considerando 47 fornisce dei chiarimenti e, a titolo esemplificativo, enumera dei casi pratici in cui sia possibile rinvenire il legittimo interesse del Titolare:

  • esistenza di una relazione “pertinente e appropriata” tra titolare e interessato come potrebbe verificarsi quando l’interessato è un cliente del titolare, ovvero quando intercorra un rapporto di lavoro tra i due soggetti;
  • quando il trattamento sia “strettamente necessario” per prevenire delle frodi;
  • per finalità di marketing diretto.

Tuttavia, nonostante l’evidenza oggettiva dei casi elencati, secondo quanto riportato nel considerando citato, affinché il trattamento avvenga in maniera lecita, è comunque necessario che sussistano delle ragionevoli aspettative da parte dell’interessato rispetto al porre in essere il trattamento dei dati, sulla base della relazione esistente tra lui e il Titolare del trattamento.

In altre parole, alla luce del principio della c.d. accountability, secondo la quale il Titolare è responsabile del fatto che i trattamenti posti in essere siano operati nel rispetto di quanto definito nel Regolamento Europeo e che egli sia in grado di provare ciò, il Titolare deve operare un’”attenta valutazione” circa il fatto che l’interessato, al momento della raccolta dei dati, possa “ragionevolmente attendersi che abbia luogo un trattamento a tale fine”.

Giova ricordare, comunque, come la normativa nazionale (art. 1, comma 1022, Legge 205/2017), prevede che il Titolare del Trattamento, qualora intenda porre in essere un trattamento che trovi la sua liceità nel legittimo interesse, attraverso l’utilizzo delle nuove tecnologie o mediante strumenti automatizzati, sia obbligato a darne immediata comunicazione all’Autorità Garante nazionale prima di dare inizio alle operazioni di trattamento. Questa informativa deve specificare l’oggetto, le finalità e il contesto del trattamento. Effettuata tale comunicazione e solo trascorso il termine di quindici giorni lavorativi dall’invio della stessa, senza che ci sia stata risposta da parte del Garante, il Titolare potrà procedere al trattamento.

Il considerando 50, inoltre, descrive un ulteriore fattispecie in cui è possibile ravvisare il perseguimento da parte del Titolare del Trattamento di un legittimo interesse. Quando il Titolare effettui la comunicazione di dati personali in suo possesso a una autorità competente qualora avvenga per indicare possibili reti o minacce per la sicurezza pubblica. Tuttavia, anche in questo caso, il legislatore si preoccupa di salvaguardare il delicato equilibrio tra bene comune e diritti dell’interessato, raccomandando che in simili circostanze tale trasmissione di dati e il relativo trattamento dovrebbero essere vietati se non compatibili con “un obbligo vincolante di segretezza, di natura giuridica, professionale o di altro genere”.

Da quanto brevemente esposto appare chiaro come la definizione del legittimo interesse richieda pertanto un’attenta valutazione preventiva da parte del Titolare del Trattamento necessaria al fine di poter dimostrare, in caso di verifica o controllo, l’effettiva sussistenza del legittimo interesse richiamato.

Per questo si suggerisce di porre in atto una valutazione specifica per quei trattamenti per i quali si vuole utilizzare il legittimo interesse quale condizione di liceità degli stessi. Una valutazione che permetta di definire in maniera circostanziata il contesto e gli elementi fondanti il legittimo interesse che si vuole richiamare, in modo da poter correttamente valutare la correttezza del proprio comportamento alla luce dei principi enunciati dal G.D.P.R.

Inoltre, la formalizzazione e la conservazione di questa valutazione, permetterà al Titolare di essere aderente al c.d. principio dell’accountability.

A tal fine, appare necessario procedere con un processo di indagine in tre momenti complementari tra loro e in un ordine temporale ben definito secondo i seguenti punti:

  1. definire in maniera puntuale il legittimo interesse – attraverso domande del tipo:
    • perché si vuole porre in essere il trattamento?
    • quali sono gli obiettivi che si vuole raggiungere?
    • quali sono i benefici che comporterebbe il trattamento?
    • quanto sono importanti tali benefici?
    • potrebbero sorgere dei problemi in ordine a principi etici o ai principi declinati dalla normativa in materia di protezione dei dati personali?
  2. considerare la necessità di porre in essere il trattamento – mediante la verifica:
    • se un simile trattamento aiuti a favorire il perseguimento dell’interesse legittimo così come definito in precedenza;
    • se la scelta effettuata sia ragionevole in rapporto agli obiettivi che si vogliono raggiungere attraverso il nuovo trattamento;
    • se esista o meno una scelta operativa che produca un effetto meno invasivo in ambito di tutela di dati personali.
  3. verificare se interessi o diritti e libertà fondamentali dei potenziali interessati prevalgano sull’interesse legittimo individuato – è opportuno indagare e definire con precisione:
    • quale sia la natura di rapporto che intercorre tra Titolare e Interessato;
    • se uno o più dati che saranno coinvolti dal trattamento possa appartenere alla categoria dei dati particolari;
    • se si tratti di dati relativi a interessati minorenni;
    • se sia ragionevole pensare che l’Interessato si possa aspettare un trattamento dei suoi dati del tipo di quello che si vuole porre in essere;
    • se sia possibile implementare delle misure atte a minimizzare l’impatto del trattamento sui dati personali oggetto di questo;
    • se sia possibile offrire o meno agli interessati la possibilità di rinunciare al trattamento.

Renato Carafa

Richiedi una consulenza

Fiscolexnews oltre ad offrire ai propri lettori informazioni e aggiornamenti sui principali argomenti in materia fiscale, legale e del mondo dell’impresa, implementa il proprio servizio offrendo la sezione “Richiedi una consulenza”. Sarai messo in contatto diretto con i nostri esperti nelle varie materie, che saranno pronti a fornire consulenze mirate e specifiche su quesiti ad hoc.