La normativa per la protezione dei dati personali aggiornata al GDPR prevede che il trattamento dei dati personali sia lecito solo in alcune specifiche situazioni, elencate agli articoli 6 e 9 del regolamento.
Le basi giuridiche che rendono lecito un trattamento di dati comuni sono:
- il consenso dell’interessato
- l’esecuzione di un contratto o di misure precontrattuali di cui è parte l’interessato
- l’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento
- la salvaguardia di interessi vitali dell’interessato o di un’altra persona fisica
- l’esecuzione di un compito di interesse pubblico (o connesso all’esercizio di pubblici poteri) di cui è investito il titolare del trattamento
- il legittimo interesse del titolare o di terzi
Più precisamente l’art. 6 alla lettera f) indica che un trattamento di dati personali è lecito se:
“Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgono gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore”.
Possiamo quindi sintetizzare che l’interesse deve:
- prevalere su quello degli interessati e sui loro diritti e libertà.
- essere legittimo
- appartenere al titolare o a terzi
Nonostante questa precisazione, è evidente che l’interpretazione risulta piuttosto discrezionale.
Il titolare del trattamento, infatti, deve individuare e definire sia il proprio interesse che quelli degli interessati, considerare l’impatto sui loro diritti e libertà, e dimostrare inoltre che il suo interesse, o quello di terzi, prevale su quello degli interessati.
Proviamo a fare un po’ di chiarezza su questa libertà di interpretazione.
Quando possiamo considerare legittimo l’interesse del titolare del trattamento?
L’orientamento del gruppo di lavoro dei garanti europei all’interno dell’Opinion n°6 del 2014, il documento in cui vengono delineate le caratteristiche e le modalità di applicazione di questa base giuridica, ci aiuta a chiarire la questione.
La prima caratteristica che emerge è che l’interesse deve essere lecito, cioè perseguito nel rispetto dei principi generali di protezione dei dati personali. Deve rispettare il principio di correttezza e trasparenza e, anche se può sembrare banale specificarlo, non deve essere contrario alla legge.
Altra caratteristica individuata dai garanti europei è che tale interesse deve essere reale e attuale, cioè corrispondere ad un beneficio atteso in futuro, rispetto alle attività di trattamento svolte dal titolare.
GDPR: quando si può utilizzare il legittimo interesse?
Il legittimo interesse indicato all’art. 6 del GDPR può essere utilizzato quando il trattamento è strumentale a raggiungere lo scopo legittimo perseguito dal titolare del trattamento e nei casi in cui non possa applicarsi nessun’altra delle basi giuridiche previste.
Non può, invece, essere utilizzato per rimediare alle situazioni in cui il trattamento è stato già effettuato senza chiedere il consenso.
Per utilizzare il legittimo interesse, il titolare del trattamento deve identificare l’interesse legittimo perseguito e documentare le ragioni a favore della scelta di questa base giuridica, compresi i motivi per cui non è possibile utilizzare le altre. Ad esempio, indicando queste informazioni all’interno di un documento nel rispetto del principio di accountability posto alla base di tutti gli obblighi previsti dal regolamento.
Abbiamo cercato di analizzare e chiarire l’applicazione del legittimo interesse, ma potrebbe esserci ancora qualche incertezza dovuta alla complessità nell’interpretazione del regolamento. Per restare in tema di legittimo interesse del GDPR, in questo articolo trovi l’approfondimento sul test di bilanciamento fra gli interessi - un altro aspetto fondamentale e obbligatorio per utilizzare il legittimo interesse come base giuridica di un trattamento.