Tempo di lettura stimato: 7'
Ho notato una cosa: il ricorso al legittimo interesse da parte dei titolari del trattamento sta crescendo anche se, per il momento, io ancora non vedo tanto un abuso, quanto piuttosto un utilizzo distonico di questa base giuridica. Sembra che ancora non sia ben chiaro quando usarlo, come usarlo, quando serve e quando ha senso.
Ne ho parlato in un LIVE di Raise Academy, l’Accademia formazione efficace di PrivacyLab, insieme al Presidente dell’Istituto Italiano per la Privacy e Founding Partner ICTLC, Avvocato Luca Bolognini.
Ma prima di leggere l’estratto del LIVE, facciamo un ripassino e cerchiamo di capire bene cos’è il legittimo interesse.
Il legittimo interesse: una definizione
Quando un titolare vuole trattare dati personali, prima – e sottolineo prima -, deve sempre valutare la liceità del trattamento, facendo riferimento alle basi giuridiche previste dal GDPR (in particolare l'articolo 6).
E quand’è che un trattamento è lecito?
È lecito se e nella misura in cui ci si trova in una delle seguenti condizioni:
a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità (esempio: Peppino accetta l’uso dei cookie prima di navigare sul sito web);
b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso (esempio: Peppino firma un contratto di assunzione);
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento (esempio: l’azienda manda i dati di Peppino allo studio paghe per pagargli lo stipendio);
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica (esempio: Peppino sta male in ufficio, sviene e l’azienda chiama il 118);
e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (esempio: Peppino ha commesso un reato in ufficio e il titolare deve raccontare i fatti alla polizia).
Poi, l’articolo 6 ci dice anche un’altra cosa:
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato, che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.
Spieghiamo il punto f dell’articolo 6
Primo - Il trattamento può essere considerato lecito - e quindi possibile - anche senza chiedere il consenso dell’interessato o senza che sia fondato su altre basi giuridiche.
Secondo – Deve essere presente un legittimo interesse del titolare.
Terzo – Deve esserci un bilanciamento tra i diritti del titolare e quelli dell'interessato.
Quindi di quali casi parliamo?
Ce li dice il Considerando n. 47 del GDPR.
È il caso, per esempio, dell’interessato cliente o dipendente del titolare del trattamento, quello della videosorveglianza che serve a evitare che entrino i ladri in azienda o quello della gestione della sicurezza sul lavoro.
Capisci bene che non è un facciamo tutti come ci pare… Prima di fare un trattamento sulla base del legittimo interesse, lo dico e lo ripeto:
- Va fatta una valutazione, per verificare se i diritti dell'interessato possano prevalere sui legittimi interessi del titolare. Se prevalgono i diritti dell’interessato, il trattamento non si può fare.
- Il titolare dovrà non solo valutare se ha correttamente preso in considerazione tutti i rischi per i dati trattati, ma anche raccogliere (e documentare, vedi il registro dei trattamenti) elementi sufficienti per dimostrare che gli interessi relativi sono stati correttamente bilanciati tra loro: per dimostrare la sua accountability.
Bene.
Ultima cosa.
Prima di continuare con l’intervista all’Avvocato Luca Bolognini è legittimo chiedersi: e prima del GDPR? Come si faceva? Chi decideva se a prevalere fosse il diritto dell’interessato o quello del titolare?
Con la Direttiva 196 – cioè la normativa precedente sulla privacy - il bilanciamento tra i diritti delle parti era demandato all'Autorità garante.
Quindi il fatto di dover chiedere al Garante: “Garante, posso fare questo trattamento sulla base del legittimo interesse?” chiaramente ha limitato parecchio l’uso di questa base giuridica.
Il GDPR, invece, in ottica di accountability – repetita iuvant! – ti dice: io ti do la possibilità di decidere se trattare i dati di un interessato basandoti sul legittimo interesse.
E questo, come vedremo adesso, cambia molto la questione…
Tiriamo le righe del campo da calcio: il legittimo interesse pre e post GDPR
Andrea Chiozzi: Legittimo interesse. Non è ben chiaro quando usarlo e a cosa serve… Certe volte, forzare il proprio pensiero - e i propri documenti, la propria gestione GDPR e la propria compliance - sull'utilizzo del legittimo interesse, magari non è proprio la soluzione migliore. Facciamo un po’ una fotografia e tiriamo le righe del campo da calcio: le righe del legittimo interesse quali sono?
Avvocato Bolognini: Dici bene sul fatto che si tratti di un istituto per certi versi discusso e discutibile, interpretato in maniera un po' troppo soggettiva, forse, da molti titolari del trattamento. Che cos'è il legittimo interesse? Intanto diciamoci qualcosa per inquadrarlo dal punto di vista teorico. È una base giuridica del trattamento di dati personali. Quindi risponde, in primo luogo, al rispetto del principio di liceità (ex art 6 paragrafo 1 lettera a del GDPR).
Non è un istituto nuovo, è un istituto giuridico che preesisteva rispetto al GDPR. Lo trovavamo anche nella previgente disciplina (sotto la Direttiva 95/46) ed era in particolare scolpito nell’articolo 24, tra le altre casistiche del Codice Privacy (articolo ormai abrogato).
Qual è la differenza tra il legittimo interesse di allora - quindi pre-GDPR- e il legittimo interesse post GDPR?
Ci sono alcune differenze e la più importante è che questa base giuridica - prima del GDPR, prima del principio di responsabilizzazione e di tutta l'acqua che è passata sotto ai ponti con la riforma europea - questo legittimo interesse, normalmente, doveva essere riconosciuto, positivizzato o direttamente in una norma di copertura - che tipizzasse una casistica di legittimo interesse - o riconosciuto dall'Autorità garante per la protezione dei dati personali (nel caso italiano).
Prima del GDPR dovevi “chiedere il permesso” al Garante
Avvocato Bolognini: Quindi, non mi svegliavo la mattina per poi sostenere di avere un legittimo interesse come titolare del trattamento di dati personali, ma potevo formulare un’istanza al Garante, chiedendo che mi venisse riconosciuto. Questo comportava, in buona sostanza, una richiesta di permesso e di verifica preliminare.
In molti casi si usava proprio lo strumento della verifica preliminare previsto dall'articolo 17 del Codice Privacy abrogato, per ottenere un riconoscimento di legittimo interesse.
Sono famosi i casi di aziende - come case di moda e del settore lusso - che, in verifiche preliminari relative alla possibilità di conservare più tempo i dati dei loro clienti, ottennero - pre-GDPR - delle decisioni con riconoscimento di legittimo interesse, con la conservazione addirittura decennale in alcuni casi.
Il legittimo interesse piace, perché è una base giuridica "cucinabile"!
Avvocato Bolognini: Con il GDPR cambiano le cose, il legittimo interesse si rivela una base giuridica alternativa al consenso e ad altre basi giuridiche - come l'adempimento di un obbligo legale o l'esecuzione di un contratto di cui sia parte l'interessato e così via.
Diventa una base giuridica "cucinabile", che si può preparare "in casa".
Possiamo verificare se sussista un legittimo interesse e se sia utilizzabile a certe condizioni, come base giuridica per il trattamento di dati personali, senza dover andare a chiedere all'Autorità un permesso. Possiamo, a certe condizioni, riconoscercelo da soli. Naturalmente non secondo i nostri "capricci", ma ci sono tutta una serie di vincoli e criteri, che devono essere osservati attentamente.
Quindi, il legittimo interesse, se sussistente, diventa un pavimento su cui far camminare un trattamento di dati personali.
Una base giuridica per il trattamento di dati personali comuni
Avvocato Bolognini: La dottrina - e anche decisioni delle Autorità in Europa - tipicamente vede il legittimo interesse come base giuridica e quindi come condizione di liceità per il trattamento di dati personali comuni.
Si discute - e non ci sono posizioni armoniche su questo - se un legittimo interesse possa essere o meno una base giuridica sufficiente per trattare dati personali sensibili, quindi appartenenti a categorie particolari.
A mio avviso, il legittimo interesse – fermo restando il rispetto dei principi generali – può costituire una base per poter trattare dati personali anche sensibili, nel caso in cui si abbini alla sussistenza di un’ulteriore condizione aggiuntiva, da rintracciare nell’articolo 9, paragrafo 2, del GDPR.
Noi sappiamo che nell’articolo 9, paragrafo 2 del GDPR ci sono tutta una serie di condizioni che sbloccano il divieto rispetto al trattamento dei dati sensibili…
Andrea Chiozzi: È giusto ricordarlo! Ricordiamo che il dato sensibile parte con un divieto.
Avvocato Bolognini: È molto importante tenere conto del fatto che, se sussiste un legittimo interesse e in più riesco a portare a casa una delle condizioni presenti nell’articolo 9, paragrafo 2 del GDPR, ho più possibilità di usarlo.
Il più grande cambiamento introdotto dal GDPR è proprio questo: il fatto che non si debba necessariamente andare a chiedere il permesso all’Autorità. Questo cambiamento, in chiave di responsabilizzazione e quindi di maggiore autonomia, di maggiore libertà, per il titolare del trattamento di valutare e di prepararsi la base giuridica, ha ingolosito molti.
Ha indotto parecchi titolari del trattamento - e magari anche qualche consulente un po' sprovveduto o troppo audace - a pensare che il legittimo interesse fosse un vestito buono per qualsiasi stagione, che fosse una base giuridica jolly da tirare fuori come il coniglio dal cilindro, in tutti i momenti in cui non vi fosse altro appiglio per trattare dati personali.
Andrea Chiozzi: Chiarissimo.
Quando e come usare il legittimo interesse?
Quando possiamo usare questa base giuridica, come deve essere usata e quali criteri deve rispettare perché possa essere considerata valida?
Per saperlo, hai due possibilità:
1) puoi aspettare l’uscita del prossimo articolo sul legittimo interesse, in cui vedremo con l’Avvocato Luca Bolognini in quali casi e a quali condizioni usare il legittimo interesse;
oppure
2) puoi iscriverti a Raise Academy ADESSO e vedere SUBITO questo LIVE e altri contenuti con i massimi esperti di GDPR, privacy e cybersicurezza in Italia.
Perché questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.