Il legittimo interesse è una delle basi giuridiche previste dal Regolamento Generale sulla protezione dei dati la cui presenza, quindi, rende lecito un trattamento di dati (art. 6 lett. F GDPR).
Non è una base giuridica introdotta dal GDPR, era già inserita nella direttiva 95/46/CE, ma la sua applicazione ha sempre comportato dubbi e perplessità ai titolari del trattamento e, forse, anche a noi consulenti. Anche per questo è sempre stata trattata come “l’ultima spiaggia” del trattamento dati o comunque una base giuridica di livello inferiore rispetto alle altre inserite nell’articolo 6 GDPR.
Le autorità dal canto loro hanno cercato nelle varie sentenze e pronunce che si sono succedute di contribuire a fare chiarezza ai titolari del trattamento rispetto ai dubbi di applicabilità. L’European Data Protection Board (di seguito EDPB) ha avviato nel mese di ottobre una consultazione pubblica finalizzata all’adozione delle “Guidelines 1/2024 on processing of personal data based on Article 6 (1)(f) GDPR. La consultazione pubblica ora è terminata e si resta in attesa del documento finale.
I contenuti delle Linee Guida sono particolarmente interessanti non solo perché analizzano e dettagliano in maniera operativa le modalità di applicazione del legittimo interesse, riprendendo le principali pronunce della Corte di Giustizia, ma anche per sono un’interessante evoluzione del documento del Parere 6/2014 del Gruppo di Lavoro art. 29 per la protezione dei dati.
Non solo.
Nelle Linee Guida sono presenti delle analisi specifiche per l’utilizzo del Legittimo interesse in alcuni specifici settori di grande interesse per la Aziende, tra cui il Direct Marketing e nei Gruppi di Imprese.
Indice
L’applicazione del legittimo interesse.
Basare un trattamento di dati sul legittimo interesse è possibile e di questo ne siamo tutti consapevoli, ma non deve essere fatto con leggerezza. Dando ovviamente per scontato il rispetto dell’obbligo di informativa, alla base di qualsiasi trattamento dati, sono tre le condizioni cumulative che devono sussistere:
- La presenza di un interesse legittimo del titolare o di un terzo
- La “necessità” del trattamento dati
- Il favorevole bilanciamento tra l’interesse del titolare e l’interesse, i diritti e le libertà degli interessati.
La valutazione della sussistenza di queste tre condizioni, che esamineremo separatamente, deve essere vista come un processo, delle attività in sequenza da attuare necessarie e strettamente collegate.
STEP 1: il nostro interesse è legittimo?
Per prima cosa è bene precisare che il concetto di interesse va distinto dal concetto di finalità.
Una finalità è il motivo specifico per i dati vengono trattati, lo scopo o l’intenzione del trattamento dati. Un interesse viceversa è qualcosa di più ampio si tratta del beneficio o del vantaggio che il titolare o un terzo possono avere nell’intraprendere una determinata attività. Per esempio, un titolare può avere un interesse nel promuovere i propri prodotti e questo interesse può essere perseguito trattando dati personali per finalità di marketing diretto.
Ma non tutti gli interessi possono qualificarsi come “legittimi” e, purtroppo, non esiste un elenco esaustivo che riporti tutti i casi consentiti. GDPR e Corte di Giustizia UE (di seguito anche CGUE) hanno espressamente riconosciuto come legittimi diversi interessi (ad es. La garanzia del funzionamento di siti web, la protezione della proprietà o della salute, il miglioramento dei prodotti, etc.). In linea generale, tuttavia, ogni caso dovrà essere esaminato per valutare la sussistenza dei seguenti tre criteri che devono essere tutti soddisfatti.
Per prima cosa l’interesse deve essere lecito. In altre parole, non deve essere contrario al diritto dell’UE o degli Stati membri. Sebbene il concetto di “interesse legittimo” non sia limitato agli interessi sanciti e determinati dalla legge, è necessario che l’interesse legittimo non sia “contra legem”.
L’interesse poi dovrà essere articolato in modo chiaro e preciso. Il perimetro dell’interesse legittimo perseguito, infatti, deve essere chiaramente identificato per garantire che venga opportunamente bilanciato rispetto agli interessi o ai diritti e libertà fondamentali dell’interessato.
Infine, l’interesse deve essere reale e presente. Come chiarito dalla Corte di giustizia dell’Unione europea (CGEU), infatti, l’interesse legittimo deve essere attuale ed effettivo alla data del trattamento dei dati e non deve essere ipotetico.
La sentenza CGUE del 4 ottobre 2024, Causa C-621/22
Per capire meglio questi concetti, molto interessante è la sentenza CGCE del 4 ottobre 2024.
Koninklijke Nederlandse Lawn Tennisbond contro Autoriteit Persoonsgegevens Causa C-621/22.
La Royal Lawn Tennis Federation (KNLT) era stata multata per aver utilizzato illegittimamente – secondo l’Autorità olandese il legittimo interesse come base giuridica per la condivisione dei dati dei soci con due sponsor per uso promozionale. I dati personali forniti a queste organizzazioni comprendevano il nome, il sesso e l’indirizzo rispettivamente di 300.000 e 50.000 membri destinati ad essere ricontatti con iniziative pubblicitaria via telefono o posta.
La CGUE è stata coinvolta proprio in riferimento al concetto di legittimo interesse e se un interesse commerciale di un titolare come la fornitura di dati personali a fronte di un corrispettivo e senza consenso possa essere considerato un legittimo interesse.
La CGUE ha concluso che il trattamento dei dati personali che consiste nella divulgazione, a titolo oneroso, dei dati personali dei membri di una federazione sportiva, al fine di soddisfare un interesse commerciale del titolare del trattamento, può essere considerato necessario ai fini dei legittimi interessi perseguiti da tale titolare.
L’interesse puramente commerciale, quindi, come la vendita di dati personali per scopi di marketing può qualificarsi come interesse legittimo. Come ha in precedenza precisato la corte, infatti, non è necessario che “l’interesse perseguito da un titolare del trattamento sia previsto dalla legge affinché il trattamento dei dati personali effettuato da tale titolare sia legittimo ai sensi” dell’art. 6, par.1, lett. f) del GDPR.
Rispetto al marketing, prosegue la Corte “le finalità di marketing diretto in generale come interessi legittimi che possono essere perseguiti da un titolare del trattamento” sono nominate espressamente dal considerando 47 del GDPR.
STEP 2: è “necessario questo trattamento” per il perseguimento dell’interesse legittimo?
Il concetto di necessità dell’articolo 6 è un concetto ampio. Esso, infatti non copre semplicemente ciò che è utile per perseguire tale interesse, deve, viceversa, essere interpretato nel senso di prevedere un obbligo per il titolare di valutare se gli interessi legittimi di un trattamento dato non possa essere ragionevolmente conseguiti in modo altrettanto efficace con altri mezzi meno restrittivi dei diritti e delle libertà fondamentali.
Se esistono alternative ragionevoli, altrettanto efficaci, ma meno invasive, il trattamento non può considerarsi necessario.
Nella sentenza dell’ottobre scorso sopra citata, la CGUE ha sottolineato che forse l’interesse del titolare poteva essere perseguito con altre modalità. Ad esempio, contattando i proprio soci e chiedendo loro se erano d’accordo con la condivisione dei dati per scopi pubblicitari e di marketing.
STEP 3: ho fatto un test per il bilanciamento di interessi?
La terza e ultima condizione da soddisfare è che il legittimo interesse non deve essere prevalso dagli interessi, dai diritti e libertà fondamentali degli individui, tenendo conto delle aspettative ragionevoli delle persone in base alla loro relazione con l’organizzazione e delle misure di mitigazione che limitano l’impatto del trattamento. Questo bilanciamento di interessi va fatto attraverso un apposito test.
Gli interessi degli individui che possono prevalere sul legittimo interesse includono, ad esempio, interessi finanziari, sociali o personali.
I diritti e le libertà fondamentali degli individui comprendono il diritto alla protezione dei dati e alla privacy, ma anche altri diritti e libertà fondamentali, come il diritto alla libertà e alla sicurezza, la libertà di espressione e informazione, la libertà di pensiero, coscienza e religione, la libertà di riunione e associazione, il divieto di discriminazione, il diritto alla proprietà o il diritto all’integrità fisica e mentale.
Cos’è il test di bilanciamento di interessi
Il test di bilanciamento, anche chiamato Legitimate Interest Assessment o LIA, mira a valutare e confrontare i diritti e gli interessi contrapposti delle parti e dipende dalle circostanze specifiche del caso particolare. Oltre ad essere formalizzato per iscritto, è essenziale, quindi, che venga condotto prima che il trattamento sia posto in essere, con il coinvolgimento attivo del Responsabile della Protezione dei Dati (DPO) (se designato).
Gli elementi da esaminare nella fase di bilanciamento:
- gli interessi, i diritti e le libertà fondamentali degli interessati;
- l’impatto del trattamento sugli interessati, considerando la natura dei dati da trattare, il contesto del trattamento ed eventuali ulteriori conseguenze del trattamento;
- le ragionevoli aspettative dell’interessato, che non dipendono necessariamente dalle informazioni fornite dal titolare del trattamento ai soggetti interessati;
- il bilanciamento finale dei diritti e degli interessi contrapposti, compresa la possibilità di ulteriori misure di mitigazione.
È importante ricordare che lo scopo finale del LIA non è quello di evitare qualsiasi impatto sugli interessi e sui diritti dei soggetti interessati nel complesso. L’obiettivo da raggiungere, piuttosto, consiste nel giungere ad un giusto equilibrio fra i diritti, le libertà e gli interessi coinvolti, anche attraverso l’eventuale introduzione di adeguate misure di mitigazione.
Le ragionevoli aspettative dell’interessato
Uno degli aspetti più interessanti da valutare nel bilanciamento di interessi riguarda la risposta a questa domanda: l’interessato si aspetta questo trattamento dati?
Attenzione perché le ragionevoli aspettative non vanno confuse con le prassi di determinati settore: il fatto che “tutti facciano cosi” in quel settore non significa che quella attività sia un’aspettativa dell’interessato. L’EDPB nelle Linee Guida forniscono un’elenco di ragionevoli aspettative dell’interessato, che diventano una utile guida nella redazione del Bilanciamento di Interessi.
Settore Specifico: Gruppi di imprese
Un altro settore critico è il passaggio di dati tra aziende appartenenti ad uno stesso Gruppo.
Secondo il Considerando 48 del GDPR, infatti, i titolari del trattamento che fanno parte di un gruppo di imprese possono avere un interesse legittimo a trasmettere dati personali all’interno del gruppo per scopi amministrativi interni, incluso il trattamento dei dati personali di clienti o dipendenti.
Pertanto, questo tipo di trattamento può trovare la sua base giuridica del Legittimo Interesse sempre a condizione che i criteri sopra esposti siano stati rispettati.
In altre parole, la trasmissione di dati personali all’interno di un gruppo non può sempre e necessariamente basarsi sul legittimo interesse. Si ricorda anche la necessità di verificare i ruoli delle entità che trasmettono i dati all’interno del gruppo per identificare chi è il titolare di un determinato trattamento dati ( si veda anche Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR)
Settore specifico: marketing diretto
Il marketing diretto non è definito nel GDPR, ma la giurisprudenza della CGUE suggerisce che la pubblicità personalizzata potrebbe essere considerata una forma di marketing diretto. Per la Corte per valutare se una comunicazione sia effettuata per finalità di marketing diretto, bisogna verificare se tale comunicazione persegua uno scopo commerciale e sia indirizzata direttamente e individualmente a un consumatore.
Non solo, è irrilevante se la pubblicità sia indirizzata a un destinatario predeterminato e identificato individualmente o sia inviata su base massiva e casuale a più destinatari.
Ciò che conta è che vi sia una comunicazione per uno scopo commerciale che raggiunge direttamente e individualmente un consumatore.
Ad esempio un banner pubblicitari sotto forma di email, quindi contenente offerte agli utenti è una forma di marketing diretto.
Il fatto, poi, che il Considerando 47 GDPR affermi che il trattamento di dati personali per finalità di marketing diretto può essere effettuato per soddisfare un interesse legittimo non significa che il marketing diretto costituisca sempre un interesse legittimo, né che sia automaticamente possibile fare affidamento sull’Articolo 6(1)(f) GDPR per tutte le attività di marketing diretto.
In alcuni casi di marketing diretto, potrebbe essere necessaria una base giuridica diversa, come il consenso, escludendo quindi l’uso dell’interesse legittimo come base giuridica. Fermo restando, ovviamente, che l’uso anche nel marketing diretto del legittimo interesse deve essere preceduto dall’analisi della sussistenza dei criteri sopra esposti.
Casi di esclusione
Si ricorda, poi, che esistono delle normative specifiche che escludono l’uso del legittimo interesse per finalità di direct marketing:
– Direttiva ePrivacy per l’invio di comunicazioni non richieste per finalità di marketing diretto tramite email, SMS, MMS e altre applicazioni simili che può avvenire solo con il consenso preventivo
– Articolo 5(3) della Direttiva ePrivacy richiede il consenso per l’uso di tecniche di tracciamento, come la memorizzazione di cookie o l’accesso a informazioni nell’apparecchiatura terminale dell’utente.
La stessa direttiva ePrivacy prevede eccezioni all’uso del consenso, come nel caso dell’uso di dati di propri clienti per produrre prodotti o servizi simili ad una precedente vendita, norma che ritroviamo nell’art. 130 del Codice Privacy.
Nel Bilanciamento di interesse si deve tenere in considerazione che alcune pratiche di marketing possono essere considerate intrusive dal punto di vista dell’interessato, in particolare se si basano su un trattamento estensivo di dati potenzialmente illimitati, incrociando, per esempio, diverse base dati.
Fondamentale nel marketing anche le aspettative ragionevoli dell’interessato. Tra i fattori rilevanti che il titolare del trattamento deve considerare rispetto al marketing diretto vi sono elementi come: se la persona che riceve il marketing diretto è un cliente esistente, la natura dei prodotti e servizi che il titolare desidera promuovere e se è probabile che l’interessato si aspetti di ricevere marketing diretto riguardante tali prodotti e servizi.
Il diritto di opposizione al trattamento per finalità di marketing diretto
Si ricordo un elemento basilare per il direct marketing. Quando i dati personali vengono trattati per finalità di marketing diretto, l’interessato ha un diritto specifico di opporsi a tale trattamento ai sensi dell’articolo 21(2) del GDPR.
Contrariamente al diritto di opposizione più generale di cui gli interessati godono, il diritto di opporsi al trattamento dei dati personali per finalità di marketing diretto è incondizionato e indipendente dalla base giuridica invocata dal titolare del trattamento.
È sufficiente che l’interessato presenti un’opposizione affinché questa sia efficace.
La profilazione
Un accenno merita il delicato tema della profilazione.
Di per sè la profilazione è un trattamento che può basarsi sugli interessi legittimi. Tuttavia, non si applica automaticamente soltanto perché il titolare del trattamento o il terzo ha un legittimo interesse. Il titolare del trattamento deve procedere a una ponderazione per valutare se gli interessi o i diritti e le libertà fondamentali dell’interessato non prevalgano sui propri interessi (rif. WP 251 rev.01, Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679).
I seguenti aspetti sono particolarmente rilevanti:
- livello di dettaglio del profilo (un interessato profilato in un gruppo descritto in maniera ampia come “persone interessate alla letteratura inglese” o segmentato e mirato a livello granulare);
- completezza del profilo (il profilo descrive solo un aspetto minore dell’interessato oppure dipinge un quadro più completo);
- impatto della profilazione (gli effetti sull’interessato);
- garanzie destinate ad assicurare la correttezza, la non discriminazione e l’esattezza nel processo di profilazione.
E’ difficile pensare di poteri giustificare il ricorso al legittimo interesse per pratiche intrusive di profilazione e tracciamento per finalità di marketing o pubblicità. Si pensi, ad esempio a quelle attività che comportano il tracciamento di persone fisiche su più siti web, ubicazioni, dispositivi, servizi o l’intermediazione di dati.
Nel valutare la validità del trattamento ai sensi dell’articolo 6, paragrafo 1, lettera f), il titolare del trattamento dovrebbe altresì considerare l’uso futuro o la combinazione di profili.
Suggerimenti operativi ed esito del bilanciamento
Naturalmente il bilanciamento di interessi dovrà tradursi in un documento scritto. Dichiarazione quasi scontata, che potrà essere rivisto o confermato nel tempo. L’esito del bilanciamento potrebbe essere “positivo” nel senso che gli interessi legittimi perseguiti non sono superati dagli interessi, diritti e libertà degli interessati e, quindi il trattamento può essere fatto.
Se gli interessi, diritti e libertà dell’interessato prevalgono allora il titolare può prendere in considerazione delle misure di mitigazione per limitare l’impatto del trattamento sugli interessati al fine di raggiungere un giusto equilibrio. Ovviamente a seguito dell’adozione delle misure di mitigazione il bilanciamento dovrebbe essere ripetuto e dare esito positivo. Se gli interessi, diritti e libertà dell’interessato continuano a prevalere il trattamento non può basarsi sul legittimo interesse.
Il problema, però è che molto spesso l’uso del legittimo avviene senza aver realmente effettuato l’analisi della sussistenza dei requisiti sopra indicati. Spesso il titolare utilizza la base giuridica senza preoccuparsi di verificare la sussistenza delle tre condizioni analizzate e molto spesso senza preoccuparsi di redigere un documento sul Bilanciamento di Interessi.