Legitimate Interest Assessment: lo strumento per determinare se il legittimo interesse può fondare un trattamento dati

Inquadramento

Incombe sul titolare del trattamento l'obbligo di rispettare il principio di liceità del trattamento, il quale prescrive che debba trattare in maniera, appunto, lecita i dati che ha raccolto.

Ci si deve, quindi, porre il problema di comprendere quando un trattamento possa definirsi lecito ed a fare luce sul punto c'è l'art. 6 GDPR. Secondo la norma, infatti, è lecito il trattamento che si trova in una (o più) delle seguenti condizioni:

       a) l'interessato ha espresso il proprio consenso al trattamento dei propri dati per una o più specifiche finalità;

       b) il trattamento risulta necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali richieste dallo stesso;

       c) il trattamento è necessario all'adempimento di un obbligo di legge che incombe sul titolare del trattamento;

       d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;

       e) il trattamento è necessario per l'esecuzione di un interesse pubblico, o connesso all'esercizio di pubblici poteri, di cui è onerato il titolare del trattamento;

       f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato, che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

L'elemento qui d'interesse è ovviamente quanto contenuto nel punto f).

Analizzandolo più a fondo ed effettuando le dovute riflessioni sul testo della norma, emerge che:

• un trattamento può considerarsi lecito anche in assenza del consenso o delle altre basi giuridiche;
• deve essere presente un legittimo interesse del titolare che, tuttavia, non deve prevaricare interessi, diritti o liberà fondamentale dell'interessato; e pertanto
• deve essere effettuato un bilanciamento tra gli interessi del titolare del trattamento e quelli dell'interessato.

Si può, per altro, notare come questa formulazione renda il legittimo interesse la base giuridica più flessibile di quelle contenute nell'art. 6 GDPR e conseguentemente anche la più difficile da delineare con certezza. Vi sono dei “fari che illuminano il cammino” del titolare del trattamento quando questo si trova davanti alla necessità di individuare la migliore base giuridica su cui fondare il trattamento. Uno di questi è indubbiamente il Considerando 47, a norma del quale “i legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi, possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato, tenuto conto delle ragionevoli aspettative nutrite dall'interessato in base alla sua relazione con il titolare del trattamento. Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l'interessato e il titolare del trattamento, ad esempio quando l'interessato è un cliente o è alle dipendenze del titolare del trattamento. In ogni caso, l'esistenza di legittimi interessi richiede un'attenta valutazione anche in merito all'eventualità che l'interessato, al momento e nell'ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine. Gli interessi e i diritti fondamentali dell'interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali. Posto che spetta al legislatore prevedere per legge la base giuridica che autorizza le autorità pubbliche a trattare i dati personali, la base giuridica per un legittimo interesse del titolare del trattamento non dovrebbe valere per il trattamento effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti”.

Dal Considerando, pertanto, risulta fuor dubbio che non possa richiamarsi il legittimo interesse quale base giuridica legittima del trattamento nel caso in cui il titolare del trattamento sia una pubblica autorità che stia eseguendo i propri compiti. Il che da il là ad un'ulteriore riflessione: il legittimo interesse è una base giuridica connessa alla disciplina generale e, pertanto, non può essere utilizzata quale fondamento di un trattamento che si insinui nell'alveo delle discipline speciali, come, ad esempio, quella in materia E-privacy  in quanto, appunto, sottoposta ad una norma speciale e cioè la Direttiva 2002/58.

Le caratteristiche essenziali del legittimo interesse

Prima di approfondire il tema del bilanciamento degli interessi, occorre soffermarsi ancora un attimo sul legittimo interesse, per individuare quelle caratteristiche che lo distinguono e che lo rendono un’accettabile base giuridica per uno o più specifici trattamenti.

Innanzitutto, deve essere legittimo, nel senso di non illecito, e pertanto non contrario ad alcuna normativa europea o nazionale. Deve, poi, presentare i caratteri della concretezza ed attualità, da valutarsi nel momento in cui si vuole effettuare il trattamento. Infine, deve esserci un legame di stretta necessità con il trattamento per il quale vuole diventare fondamento, configurando il trattamento stesso come necessario per il perseguimento del legittimo interesse. Solo quando un interesse presenta contemporaneamente queste tre caratteristiche, allora, può dirsi legittimo.

La necessità di un assessment: il bilanciamento degli interessi

Il principio di accountability (accountability significa, letteralmente, “essere in grado di dimostrare”) è un altro dei fari guida del titolare del trattamento, poiché gli impone di verificare l'adeguatezza e la legittimità di un determinato trattamento, prima che venga posto in essere, effettuando appunto il bilanciamento degli interessi coinvolti.

Tale bilanciamento, nella pratica, viene verificato con un assessment effettuato proprio dal titolare del trattamento, ma non è sempre stato così.

a) La normativa precedente al GDPR

Prima dell'entrata in vigore del GDPR, effettuare tale bilanciamento era un'attività demandata all'Autorità per la protezione dei dati personali. Infatti, l'art. 24, lett. g) Codice Privacy prevedeva la possibilità di trattare dati, con esclusione della diffusione, nei casi individuati dal Garante, per perseguire un legittimo interesse di un titolare o di un terzo destinatario dei dati, qualora non prevalessero i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato. Dover effettuare questo passaggio preliminare presso l'Autorità ha, nei fatti, limitato parecchio l'uso del legittimo interesse come base giuridica.

b) La normativa in vigore con il GDPR

Il cambio di paradigma si è avuto con l'avvento del GDPR che ha introdotto il principio di responsabilizzazione. L'obiettivo è stato proprio quello di responsabilizzare il titolare, permettendogli di condurre lui stesso l'assessment sul bilanciamento degli interessi nel caso in cui voglia utilizzare il legittimo interesse quale base giuridica di un dato trattamento. Questo cambio di rotta ha indubbiamente permesso un'applicazione più diffusa della lettera f) dell'art. 6 GDPR. Non si dimentichi, però, che permane la possibilità di un controllo successivo ad opera del Garante.

c) L' assessment sul bilanciamento degli interessi

Compreso come individuare un legittimo interesse che possa davvero definirsi tale, occorre tenere a mente che questo è una legittima base giuridica per un trattamento fintanto che non comprima in maniera eccessiva interessi, diritti e libertà fondamentali dell'interessato. L' assessment, infatti, ha proprio l'obiettivo di dimostrarsi che tale ipotesi è scongiurata.

Ma come, nella sostanza, effettuare questo bilanciamento? A tracciare delle linee guida utili per il titolare del trattamento si sono espressi i Garanti Europei con l'Opinion 06/2014. Qui vengono descritti quelli che possono essere considerati i “quattro pilatri” del Legitimate Interest Assessment – L.I.A:

1. valutare il legittimo interesse del titolare del trattamento;
2. valutare l'impatto sugli interessati;
3. effettuare un bilanciamento provvisorio;
4. valutare la necessità di implementare delle garanzie supplementari, applicate dal titolare del trattamento per evitare un impatto indebito sugli interessati.

I. La valutazione del legittimo interesse del titolare del trattamento

Dal momento che nella nozione di legittimo interesse possono rientrare molteplici fattispecie, l'analisi della sua natura può diventare fondamentale nel momento in cui si è chiamati ad effettuare il bilanciamento. Possono infatti venire in considerazione:

• l'esercizio di un diritto fondamentale. Molti dei diritti fondamentali menzionati della Carta dei Diritti Fondamentali dell'UE possono potenzialmente confliggere con la privacy degli interessati. Si pensi ad esempio al diritto di espressione ed a quello di informazione. Perché l'interesse del titolare possa “prevaricare” su quello dell'interessato, però, il trattamento deve qualificarsi come necessario e proporzionato rispetto al diritto fondamentale che vuole essere esercitato.
• Un interesse pubblico. Nel caso in cui il titolare del trattamento invochi un pubblico interesse a supporto del proprio trattamento, quanto più questo è convincente e chiaramente riconosciuto dalla comunità di riferimento e dagli interessati, tanto più può considerarsi che il trattamento sia fondato su un legittimo interesse.
• Altri interessi legittimi. Come si è detto, una varietà di situazioni possono entrare in gioco ed in questi casi il ragionamento è molto simile a quello appena visto: tanto più è convincente l'interesse del titolare e quanto più questo è riconosciuto dalla comunità di riferimento, allora tale interesse avrà dunque un maggior peso in sede di bilanciamento.
• Il riconoscimento giuridico o sociale della legittimità di un interesse. Anche qui vale il ragionamento di cui sopra: maggiore è il riconoscimento che, a livello giuridico o sociale, viene dato ad un particolare interesse, maggiore sarà il suo peso in sede di bilanciamento.

II. La valutazione sull'impatto degli interessati

Molteplici sono gli elementi che devono essere tenuti a mente nel momento in cui ci si approccia alla valutazione dell'impatto che il trattamento ha sugli interessati. Tra di questi:

• la natura dei dati che si intende trattare;
• le modalità di trattamento;
• l'aspettativa che l'interessato ha sul trattamento dei propri dati;
• lo status del titolare e quello dell'interessato.

III. Il bilanciamento provvisorio

Nell'effettuare il bilanciamento devono essere tenuti in considerazione tutti i principi su cui si fonda il GDPR, dalla trasparenza alla minimizzazione per passare alla proporzionalità. La piena conformità del titolare dovrebbe significare che si è valutato che gli interessi, i diritti, le libertà fondamentali degli interessati è meno probabile che vengano intaccati ed è pertanto più probabile che il titolare del trattamento possa fare affidamento sul legittimo interesse quale corretta base giuridica. Tuttavia, talvolta, questo non è sufficiente e non è facile comprendere come il bilanciamento possa essere effettuato: proprio in questi casi viene in aiuto l'ultimo elemento.

IV. Le garanzie supplementari

Tra di queste si possono annoverare, ad esempio, la previsione di modalità incondizionate di opt-out (cioè di uscita) che permettano all'interessato di opporsi al trattamento in qualsiasi momento e senza alcuna ripercussione; limitazioni sulle quantità di dati raccolti; cancellazione dei dati una volta effettuato il trattamento, facendo pertanto venir meno la loro conservazione.

La scelta che il titolare fa di aggiungere queste misure potrebbe far virare l'ago della bilancia a suo favore. Tutti questi elementi, ovviamente, dovranno poi essere considerati nel loro insieme, così che l'assessment possa dare un risultato il più chiaro e comprensibile possibile.

Opposizione dell'interessato

In chiusura occorre aggiungere una nota di non poco conto: come ben si sa, l'interessato ha il diritto di opporsi, in qualsiasi momento, al trattamento dei dati personali che lo riguardano ed ha, inoltre, diritto ad essere informato della possibilità di potersi opporre. Ciò vale anche nell'ambito di trattamenti fondati sul legittimo interesse e per i quali è stato effettuato un Legitimate Interest Assessment. Con una peculiarità.

L'art. 21, par. 1 GDPR dispone che, quando basato su un legittimo interesse, l'interessato può opporsi al trattamento dei propri dati ed il titolare si astiene da tale trattamento, salvo riesca a dimostrare l'esistenza di motivi legittimi cogenti che prevalgano su interessi, diritti e libertà dell'interessato. Si tratta, pertanto, di un'opposizione che deve essere motivata da parte dell'interessato, ma che può anche essere contro-motivata dal titolare del trattamento.

È, pertanto, ben differente al diritto di opposizione che si prevede al paragrafo 2 dello stesso articolo, che contempla il caso di trattamento finalizzato al marketing diretto. Il successivo paragrafo (par. 3), infatti, prevede che in presenza di opposizione ex art. 21, par. 2 GDPR i dati dell'interessato non debbano essere più trattati, senza alcuna possibilità di eccezione.

Le principali pronunce del Garante italiano

Il Garante italiano si è più volte espresso sul legittimo interesse, andando così a delineare dei parametri che permettano di effettuare un accorto bilanciamento. Eccone alcuni:

• Provvedimento in materia di videosorveglianza (provv. 8 aprile 2010, doc. web n. 1712680)

Nel trattare il tema della videosorveglianza, l'Autorità evidenzia come sia fondamentale il ricorso al bilanciamento degli interessi nei casi in cui la rilevazione di immagini possa essere effettuata senza consenso. Ciò può avvenire quando la registrazione sia effettuata per il perseguimento di un legittimo interesse (del titolare o di un terzo), per la tutela delle persone o dei beni in ipotesi in cui si temano furti, rapine, aggressioni ed atti di vandalismo o ancora quando si vogliono prevenire incendi o garantire la tutela data dalla sicurezza sui luoghi di lavoro.

• Provvedimento generale prescrittivo in tema di biometria (provv. 12 novembre 2014, doc. web n. 3556992)

Nel trattare il tema della biometria, il Garante sottolinea come, in ambito privato, il presupposto di legittimità del trattamento dei dati biometrici nel contesto dell'autenticazione informatica non può che fondarsi su un bilanciamento degli interessi. Dovranno pertanto essere raffrontati: il legittimo interesse del titolare del trattamento, le esigenze di sicurezza da rapportarsi al rischio per i dati ed i sistemi che la procedura di autentificazione ha lo scopo di marginare. Tenendo, ovviamente, conto delle misure di sicurezza delle banche dati.

• Verifica preliminare. Utilizzo di un sistema informatico antifrode (provv. 19 gennaio 2017, doc. web. n. 6068256)

Nell'ambito di una verifica preliminare nei confronti di Ikea Italia Retail srl, la quale aveva implementato un sistema antifrode che acquisiva e conservava una notevole quantità di dati senza il consenso dell'interessato, il Garante ha individuato quale presupposto di liceità, equivalente al consenso, il legittimo interesse della società, effettuando un esercizio di bilanciamento degli interessi.

• Verifica preliminare. Ipotesi di banca dati in campo assicurativo (provv. 20 aprile 2017, doc. web n. 6407608)

Nel decidere sull'istanza presentata da Belron Italia S.p.A., l'Autorità ha negato l'emanazione del provvedimento di bilanciamento degli interessi in relazione al trattamento di dati che la società aveva intenzione di effettuare a vantaggio di alcune compagnie di assicurazione convenzionate anche al fine di contrastare le frodi assicurative. Tra i fondamenti di questa decisione, il rilevo che il contrasto alle frodi, per le assicurazioni, è disciplinato per legge e che i rapporti di collaborazione tra le compagnie non siano sufficienti a fondare un'idonea base giustificativa su cui effettuare un bilanciamento di interessi.

• Provvedimento 7 luglio 2022 (provv. 7 luglio 2022, doc. web n. 9788429)

L'autorità sul famoso caso TikTok contesta la rappresentazione che il social network ha fatto del bilanciamento di interessi svolto, evidenziando come il test di bilanciamento effettuato risulti troppo generico ed insufficiente a permettere una valutazione sulla sua correttezza, oltre a non esser stata adeguatamente commentata l'asserzione relativa al suo essere soddisfacente. Evidenzia quindi come nel caso di specie non sia ravvisabile la prevalenza in concreto dell'interesse del titolare rispetto ai diritti ed alle libertà degli interessati, elemento fondamentale perché il legittimo interesse possa fondare legittimamente un trattamento dati.

In conclusione

La scelta del legittimo interesse quale base giuridica di un trattamento, si è visto, deve essere fatta con molta cautela, imponendo in capo al titolare un adempimento di non facile compimento, cioè la predisposizione di un Legitimate Interest Assessment. Come visto poc’anzi, nemmeno un assessment che dimostra un corretto bilanciamento degli interessi a favore del titolare che può pertanto fondarvi il suo trattamento, può trasformarsi in un vincolo all’opposizione dell’interessato che non voglia più vedere trattati i propri dati.