trattamenti eseguiti per legittimo interesse
articoli e news

Il GDPR rimette al titolare del trattamento la valutazione in ordine alla sussistenza, nel caso concreto, di un interesse, proprio o di terzi, tale da legittimare il trattamento dei dati personali, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato e tenuto conto delle ragionevoli aspettative nutrite dallo stesso sulla base della sua relazione con il titolare del trattamento (art. 6, par. 1, lett. f). Ad esempio, un legittimo interesse potrebbe essere ravvisato quando l´interessato è un cliente o è alle dipendenze del titolare del trattamento, oppure qualora titolari del trattamento facenti parte di un gruppo imprenditoriale trasmettano dati personali all'interno del gruppo a fini amministrativi interni, o ancora ove il trattamento di dati personali relativi al traffico si renda necessario per garantire la sicurezza delle reti e dell'informazione, vale a dire la capacità di una rete o di un sistema d'informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati personali conservati o trasmessi (v. considerando 48 e 49 del Regolamento).

Fermo restando che il legittimo interesse non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei propri compiti (art. 6, par. 1, lett. f, alinea 1), in ogni caso, l´esistenza di legittimi interessi del titolare del trattamento o di terzi richiede un'attenta valutazione anche in merito all'eventualità che l'interessato possa ragionevolmente attendersi che abbia luogo un trattamento a ciò preordinato. In situazioni in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali, dovrebbero, tenute sempre in considerazione le circostanze del caso, ritenersi prevalenti gli interessi e i diritti fondamentali delle persone alle quali i dati si riferiscono.

Riguardo ai criteri utilizzabili per il bilanciamento in questione, può farsi utilmente riferimento al parere adottato sul tema dal Gruppo Art. 29 (WP 217, doc. web n.  3815154) nonché al parere sui trattamenti in ambito lavorativo, con specifico riferimento a tale contesto (WP 249, doc. web n. 6880588). A titolo esemplificativo, si ricorda comunque che il Garante ha individuato alcuni casi in cui il legittimo interesse del titolare può costituire un valido fondamento di liceità del trattamento: si pensi, tra i tanti, alla videosorveglianza da parte di soggetti privati (doc. web n. 1712680), all'utilizzo di sistemi antifrode (doc. web n. 6068256) o all'utilizzo di sistemi di localizzazione geografica su flotte aziendali (doc. web n. 1850581).

Tale valutazione è espressione del più generale principio di responsabilizzazione (art. 5, comma 2), che impone al titolare di osservare una serie di parametri – desumibili, in particolare, dai principi applicabili al trattamento di cui all´art. 5 del Regolamento – al fine di conformare il trattamento che intende effettuare alla disciplina in materia.

Fermo restando che ciascun titolare del trattamento deve rispettare tutti i principi di cui all´art. 5 del Regolamento, nel trattare dati personali sulla base del legittimo interesse proprio o di terzi, è necessario tenere in debita considerazione tra gli altri, i seguenti profili che assumono specifico rilievo in tali circostanze, in modo da non incorrere nel rischio di ledere i diritti dell´interessato, dovendo verificare prima di iniziare il trattamento, in particolare, che:

  1. il trattamento non riguardi le categorie particolari di dati personali enumerate all'art. 9, par. 1, del Regolamento (tra i quali sono inclusi i dati biometrici che, rispetto al regime previgente stabilito dal Codice, vengono, così, sottratti alla possibilità di essere trattati in base al presupposto del legittimo interesse), né i dati relativi a condanne penali e reati di cui all´art. 10 del Regolamento;
  2. non sia più appropriato applicare, nel caso concreto, un diverso presupposto in grado di consentire, ai sensi del Regolamento, il trattamento, derivante, ad esempio, dalla necessità di adempiere un obbligo legale ovvero di salvaguardare gli interessi vitali dell'interessato o di un terzo; per l´esecuzione di un compito di interesse pubblico oppure per l´esecuzione di un contratto del quale è parte l'interessato o di misure precontrattuali;

iii. gli specifici scopi perseguiti mediante il trattamento dei dati devono essere individuati attentamente, di modo da consentire al titolare di effettuare non solo il necessario bilanciamento di tutti gli interessi in gioco (quelli perseguiti dal titolare o dai terzi con i diritti e le libertà degli interessati), ma anche di predisporre garanzie adeguate, in relazione al caso concreto, per proteggere i dati personali e tutelare gli altri diritti fondamentali degli interessati (in particolare, in ambito lavorativo, il legittimo interesse del datore di lavoro può essere invocato come presupposto di liceità a condizione che il trattamento dei dati dei lavoratori sia strettamente necessario per uno scopo legittimo e conforme ai principi di proporzionalità e sussidiarietà – cfr. il parere del Gruppo Art. 29 cit. sui trattamenti in ambito lavorativo);

  1. le predette finalità devono essere determinate, esplicite e legittime in quanto gli obiettivi perseguiti nel singolo caso, non devono comunque porsi in contrasto con altri settori dell'ordinamento;
  2. venga sempre salvaguardata la qualità dei dati che si intende trattare, assicurando che siano adottate misure idonee - in rapporto alla natura, all'oggetto, al contesto e alle finalità del trattamento che si intende effettuare - per garantire l'esattezza e, ove necessario, l´aggiornamento delle informazioni raccolte;
  3. si proceda a una raccolta e utilizzazione dei dati che risponda ai requisiti di minimizzazione, al fine di trattare solo le informazioni che si rivelino adeguate, pertinenti e limitate al soddisfacimento della specifica finalità di volta in volta perseguita, applicando gli stessi criteri alle operazioni su di essi eseguibili, in modo da ridurre al minimo l'invasività del trattamento;

vii. venga sempre assicurata la protezione dei dati fin dalla progettazione e per impostazione predefinita, nonché l´adozione di misure e accorgimenti che – sotto il profilo sia tecnico, sia organizzativo – siano in grado di garantire un livello di sicurezza adeguato al rischio, che dovrà essere valutato tenendo in considerazione lo stato dell´arte e i costi di attuazione, nonché la natura, l'oggetto, il contesto e le finalità del trattamento, come anche la probabilità e la gravità di eventuali impatti negativi per i diritti e le libertà dell´interessato;

viii. sia effettuata, prima di procedere al trattamento, la valutazione di impatto di cui all´art. 35 del Regolamento, considerato che il trattamento fondato sul legittimo interesse, allorché venga effettuato tramite l´uso di nuove tecnologie o strumenti automatizzati, può di per sé presentare un rischio elevato per i diritti e le libertà fondamentali degli interessati, fermo restando la necessità di consultare preventivamente il Garante ai sensi dell´art. 36 del Regolamento medesimo, qualora all´esito della valutazione d´impatto il rischio residuo rimanga elevato, in quanto le garanzie, le misure e gli accorgimenti previsti dal titolare non risultano sufficienti ad attenuarlo a un livello accettabile (v. Linee guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati, WP248, doc. web n. 7015994). Peraltro, la predetta valutazione facilita il titolare a effettuare un ponderato bilanciamento degli interessi coinvolti, tenuto anche conto che, in base al principio di responsabilizzazione, questi è tenuto a dimostrare, ove richiesto, gli elementi che lo hanno portato a decidere di trattare i dati su tale fondamento, senza comprimere in misura eccessiva i diritti e le libertà degli interessati, e l´idoneità delle garanzie approntate.

Al riguardo, si sottolinea che un imprescindibile requisito di legittimazione del trattamento è la relativa correttezza e trasparenza (art. 5, par. 1, lett. a, 12, 13, par. 1, lett. d, e 14, par. 2, lett. b, del Regolamento): è quindi essenziale che il titolare garantisca la piena consapevolezza dell´interessato circa le finalità e le modalità del trattamento dei dati che lo riguardano in modo conciso, trasparente, intelligibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

Pertanto, qualsiasi titolare che intenda effettuare un trattamento di dati personali fondato sul legittimo interesse, sia che i dati siano raccolti direttamente presso l'interessato sia che vengano ottenuti da altre fonti, dovrà fornire un´informativa che evidenzi opportunamente - specie qualora il trattamento preveda l´uso di nuove tecnologie o strumenti automatizzati - agli interessati la circostanza che sta trattando i dati che li riguardano sulla base di tale presupposto, nonché esplicitare quale sia il legittimo interesse in concreto perseguito, che andrà quindi opportunamente evidenziato come tale, a beneficio dell´interessato (artt. 13, par. 1, lett. d, e 14, par. 2, lett. b, del Regolamento). In particolare, può essere una buona prassi, quella di fornire all'interessato le indicazioni essenziali risultanti dal  bilanciamento effettuato in relazione al caso concreto, che ha portato il titolare a scegliere di far affidamento sull´interesse proprio o di terzi quale presupposto di liceità del trattamento ai sensi dell´art. 6, par. 1, lett. f), del Regolamento (v.  Guidelines on transparency under Regulation 2016/679, WP 260, in fase di definizione). Considerata la peculiare fonte di legittimazione del trattamento, il titolare dovrà sottolineare in special modo, il diritto di opposizione attribuito agli interessati (v. artt. 13, par. 2, lett. d, 14, par. 2, lett. c e 21, par. 4, del Regolamento).

In questo quadro, potrà anche essere presa in considerazione la possibilità di rendere pubblica la valutazione d'impatto effettuata dal titolare (o parte di essa). Sebbene una tale pubblicazione non sia richiesta dal Regolamento, in alcune circostanze, potrebbe rappresentare uno strumento utile per dimostrare trasparenza e responsabilizzazione da parte del titolare e per rafforzare la fiducia degli interessati riguardo al trattamento dei loro dati.

In ogni caso, le predette indicazioni devono essere esplicite, chiare e separate da altre informazioni eventualmente fornite all'interessato, come ad esempio i termini e le condizioni d'uso di un prodotto o di un servizio oppure, nel caso in cui il trattamento sia effettuato dal datore di lavoro, le condizioni del contratto di lavoro applicabile.

Quanto al formato o alle modalità con cui l´informativa va resa agli interessati, il Regolamento chiarisce che spetta al titolare del trattamento adottare "misure appropriate" (art. 12, par. 1, del Regolamento). Ciò significa che, al fine di decidere le modalità e il formato più adeguati per fornire all'interessato le indicazioni richieste dall´informativa, il titolare dovrebbe tenere conto del contesto e delle circostanze in cui si svolge il trattamento, nonché delle modalità di interazione con l'interessato (ambiente cartaceo, telefonico, ambiente IoT-Internet delle cose, utilizzo di tecnologie intelligenti, interazioni dirette in ambiente fisico, eventualmente associate all'utilizzo di videosorveglianza o droni in grado di registrare dati e immagini). Potrà quindi essere necessario prendere in considerazione, ove applicabile, il dispositivo utilizzato dall´interessato, oppure l´interfaccia a disposizione dell´utente e le eventuali limitazioni che tali elementi  comportano. In contesti digitali, al fine di evitare che le informazioni fornite siano troppo dettagliate e difficilmente comprensibili per gli interessati, potranno essere, ad esempio, utilizzate modalità per rendere l'informativa su più livelli in modo da  consentire agli interessati di acquisire i necessari approfondimenti in fasi successive o di consultare particolari aspetti dell´informativa che giudicano di maggiore interesse. Sempre nel contesto digitale, a seconda dei casi, altre modalità appropriate per rendere l'informativa potrebbero includere, tra gli altri, avvisi tramite finestre a comparsa (pop-up), notifiche di cui confermare la ricezione esercitando differenti pressioni sullo schermo di un dispositivo intelligente, notifiche dinamiche legate al passaggio del mouse o del puntatore su determinate aree, e i "cruscotti" di controllo per la privacy).

Ad esempio, nel momento in cui l'utente accede a un sito web, dovrebbe essergli presentata una prima informativa "breve" (contenuta non in una sezione nascosta del sito che necessita di diversi clic per essere raggiungibile, bensì in un banner a comparsa immediata sulla home page o altra pagina tramite la quale l'utente può accedere al sito) contenente le indicazioni essenziali relative al trattamento dei suoi dati personali. Tale prima informativa dovrebbe altresì consentire all'interessato di avere una chiara visione d'insieme sulle informazioni a sua disposizione in relazione al trattamento che lo riguarda e sulle modalità con cui può reperire tali indicazioni dettagliate all'interno dei diversi "livelli" in cui si articola l´informativa.  L´informativa "estesa" dovrebbe invece essere resa su più "livelli", anche attraverso  link cliccabili dall´utente che rinviano a ulteriori dettagli in conformità agli artt. da 12 a 14 del Regolamento, sempre che siano opportunamente evidenziati, in particolare, il legittimo interesse perseguito, il soggetto che ne sia portatore, nonché la possibilità per l'interessato di esercitare il diritto di opposizione al trattamento.

Si ricorda, infine, che le informazioni possono essere fornite "in combinazione" con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d'insieme del trattamento previsto; inoltre, se presentate elettronicamente, le icone dovrebbero essere leggibili da dispositivo automatico (art. 12, par. 7, del Regolamento). Quindi, non potrà farsi ricorso a tali strumenti in sostituzione delle informazioni necessarie per l'esercizio dei diritti degli interessati, o in ogni caso in sostituzione del rispetto degli obblighi trattamento in materia di trasparenza fissati dal Regolamento (artt. 13 e 14).



Hai un dubbio o un problema su questo argomento?

Scrivi alla nostra redazione giuridica e ricevi la tua risposta entro 5 giorni

Non condivideremo mai la tua email con nessuno.