Le tanto attese linee guida del Comitato Europeo per la Protezione dei Dati (EDPB) sul legittimo interesse sono finalmente state pubblicate. Questo avviene appena una settimana dopo la decisione della Corte di Giustizia dell’Unione Europea nel caso KNLT, in cui è stato stabilito che un interesse commerciale può essere alla base di un legittimo interesse ai sensi del GDPR, a condizione che sia necessario per perseguire lo scopo pertinente.
Da una prima analisi, appare chiaro che le aziende non possono fare affidamento sul legittimo interesse come base giuridica “generale” ogni volta che non sono in grado di giustificare altrimenti il trattamento dei dati.
Molte volte, le aziende forniscono nelle informative sulla privacy una lista infinita di basi giuridiche per ogni scopo del trattamento dei dati senza spiegare quando ciascuna di esse si applica. In relazione al trattamento dei dati basato sul legittimo interesse, spesso non effettuano una valutazione del legittimo interesse (LIA) che bilanci adeguatamente gli interessi dell’azienda con quelli degli individui interessati.
Autorità Garante per la protezione dei dati personali sta sempre più richiedendo la presentazione della LIA come parte di procedimenti sulle aziende, e queste non possono essere organizzate frettolosamente all’ultimo minuto quando viene richiesta la LIA dall’autorità. Devono essere valutate attentamente dalle aziende prima che possano fare affidamento sul legittimo interesse.
Questo documento sostituirà il Parere 6/2014 del Gruppo di lavoro art. 29.