Linee guida dell’EDPB sul trattamento dei dati personali sulla base del legittimo interesse

Scritto da Margherita Stucchi

Lo scorso 8 ottobre, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato le Linee guida 1/2024 sul trattamento dei dati personali basato sull’articolo 6, paragrafo 1, lettera f), del GDPR che analizzano i criteri stabiliti dall'articolo 6, paragrafo 1, lettera f), del GDPR che i responsabili del trattamento devono soddisfare per intraprendere legittimamente un trattamento di dati personali che sia “necessario ai fini degli interessi legittimi perseguiti dal responsabile del trattamento o da terzi”. Secondo il Comitato, il criterio del legittimo interesse non deve essere trattato come “ultima risorsa” per situazioni rare o inaspettate in cui si ritiene che altre basi giuridiche non siano applicabili, né deve essere scelto automaticamente o il suo uso indebitamente esteso sulla base della percezione che tale criterio sia meno vincolante di altre basi giuridiche.

Le linee guida stabiliscono tre condizioni cumulative per l’applicazione del criterio del legittimo interesse, che devono essere valutate dal titolare del trattamento prima di effettuare le operazioni di trattamento in questione e devono valutare attentamente documentate.

1.      Prima fase: Perseguimento di un interesse legittimo da parte del responsabile del trattamento o di un terzo.

Il primo è identificare se l’interesse del titolare del trattamento o di terzi sia “legittimo”, poiché non tutti gli interessi sono automaticamente qualificabili come legittimi ai sensi dell’articolo 6, paragrafo 1, lettera f). In questo senso anche la Corte di giustizia dell’Unione europea (CGUE) ha sottolineato che i titolari del trattamento devono assicurarsi che i loro interessi siano effettivamente legittimi prima di passare alle fasi successive del processo di valutazione.

Pur non prevedendo il GDPR un elenco esaustivo di interessi che possono essere considerati legittimi, è possibile ricavare sia dal GDPR stesso che dalla giurisprudenza della CGUE un'ampia gamma di interessi che, in linea di principio, può essere considerata legittima come l'accesso alle informazioni online, la garanzia del continuo funzionamento dei siti web accessibili al pubblico, l'ottenimento dei dati personali di una persona che ha danneggiato la proprietà di qualcuno, la valutazione del merito creditizio delle persone.

In ogni caso, l’interesse può essere considerato legittimo se soddisfa i seguenti criteri cumulativi:

  • è lecito, non deve quindi essere in contrasto con la normativa dell’UE o degli Stati membri;

  • è articolato in modo chiaro e preciso al fine di garantire un giusto equilibrio con i diritti degli interessati;

  • è reale e attuale e non speculativo e quindi non può essere ipotetico.

Ancora, come regola generale, l'interesse perseguito dal titolare del trattamento deve essere correlato alle attività effettive del titolare stesso. L’interesse può anche essere perseguito da "un terzo purché bilanciato con gli interessi o i diritti e le libertà fondamentali dell’interessato.

2.      Seconda Fase: Analisi della necessità del trattamento

Secondo il Comitato il concetto di “necessario ai fini degli interessi legittimi perseguiti dal responsabile del trattamento o da un terzo” non comprende semplicemente ciò che è utile per perseguire tali interessi. Il concetto di necessità deve essere interpretato in modo da riflettere pienamente gli obiettivi della legge sulla protezione dei dati e comporta un bilanciamento tra la necessità del titolare e i diritti fondamentali degli interessati.

La valutazione sulla necessità del trattamento deve considerare se i legittimi interessi non possano essere ragionevolmente raggiunti con altrettanta efficacia con altri mezzi meno restrittivi dei diritti e delle libertà fondamentali degli interessati. Se esistono alternative ragionevoli, altrettanto efficaci ma meno invasive, il trattamento non può essere considerato “necessario”. In questo contesto, la CGUE ha espressamente ricordato che la condizione relativa alla necessità del trattamento deve essere esaminata insieme al principio di “minimizzazione dei dati”.

·         Terza Fase: Test di bilanciamento

L’ultima fase prevede un test di bilanciamento fra il legittimo interesse del titolare rispetto ai diritti e alle libertà dell’interessato: il trattamento non può essere effettuato se i diritti dell’interessato prevalgono su tale interesse.

Il test prevede che il titolare del trattamento debba deve identificare e descrivere:

        i.            gli interessi, i diritti e le libertà fondamentali degli interessati: fra cui il diritto alla protezione dei dati e alla privacy, il diritto alla libertà e alla sicurezza, alla libertà di espressione e di informazione, alla libertà di pensiero, di coscienza e di religione, alla libertà di riunione e di associazione, il divieto di discriminazione, il diritto di proprietà o il diritto all'integrità fisica e mentale, che possono essere pregiudicati dal trattamento, direttamente o indirettamente. Va poi incluso qualsiasi interesse che possa essere influenzato dal trattamento in questione, compresi, ma non solo, interessi finanziari, sociali o personali.

       ii.            l'impatto del trattamento sugli interessati, tra cui

        a)      la natura dei dati da trattare:

        b)      il contesto del trattamento

       c)      eventuali ulteriori conseguenze del trattamento.

     iii.            le ragionevoli aspettative dell'interessato: distinguendo tra la nozione di ragionevole aspettativa e ciò che è considerato prassi comune in alcuni settori. Il fatto che alcuni tipi di dati personali siano comunemente trattati in un determinato settore non significa necessariamente che l'interessato possa ragionevolmente aspettarsi tale trattamento.

     iv.            il bilanciamento finale dei diritti e degli interessi contrapposti, compresa la possibilità di ulteriori misure di attenuazione: il titolare del trattamento può prendere in considerazione l'introduzione di misure di attenuazione per limitare l'impatto del trattamento sugli interessati, al fine di raggiungere un giusto equilibrio tra i diritti, le libertà e gli interessi coinvolti, come ad esempio pseudonimizzazione, la riduzione della quantità di dati trattati o la limitazione dei tempi di conservazione.

*****

Le Linee Guida ricorda poi la necessità di rispettare principio di trasparenza, che impone ai titolari di trattamento di fornire agli interessati informazioni precise e facilmente accessibili riguardo alle finalità del trattamento, alle modalità con cui vengono trattati i dati e alla base giuridica invocata. Grazie ad corretta informazione, infatti, gli interessati possono esercitare pienamente i propri diritti e comprendere le ragioni per cui i loro dati sono raccolti e utilizzati.

Margherita Stucchi
Avanti

TUB: la Corte d’appello si pronuncia sui procedimenti nazionali che impediscono la revoca dell’opt-out