L’interesse legittimo ai sensi del GDPR continua ad essere una delle basi giuridiche più utilizzate e più fraintese. Ma quali sono le questioni più rilevanti da affrontare e come utilizzarlo correttamente?
Il recente compendio pubblicato dal Comitato europeo per la protezione dei dati offre un messaggio molto chiaro: la questione non è se l’interesse legittimo possa essere utilizzato, ma come viene applicato nella pratica. E se si osservano le recenti tendenze in materia di applicazione, comprese le decisioni dell’autorità italiana per la protezione dei dati, il Garante per la protezione dei dati personali, la direzione è coerente.
Cosa richiede realmente l’interesse legittimo ai sensi del GDPR
Ai sensi dell’articolo 6, paragrafo 1, lettera f) del GDPR, l’interesse legittimo si basa su un test in tre fasi:
- deve sussistere un interesse legittimo
- il trattamento deve essere necessario
- l’interesse non deve essere superato dai diritti delle persone
In teoria sembra semplice.
In pratica, è una delle basi giuridiche più complesse da applicare.
Il compendio dell’EDPB, che analizza più di 60 decisioni dello Sportello Unico, conferma che l’interesse legittimo può coprire un’ampia gamma di scenari, dalla prevenzione delle frodi al marketing e persino allo sviluppo dell’IA. Ma tale flessibilità ha un costo: un onere di giustificazione molto più elevato.
Perché l’interesse legittimo ai sensi del GDPR continua a fallire
- Mancanza di una vera e propria valutazione dell’interesse legittimo (LIA)
Il primo problema ricorrente è di natura procedurale. Molte aziende semplicemente non effettuano una LIA adeguata prima di avviare il trattamento. Ed è qui che le cose già vanno storte. Le autorità di controllo della protezione dei dati sono molto chiare: la valutazione deve essere effettuata ex ante, non ricostruita a posteriori.
- Interessi descritti in termini generici
Un altro modello che vedo molto spesso nella pratica, e che il compendio conferma, è l’uso di finalità vaghe:
- “miglioramento dei servizi”
- “misurare le prestazioni”
- “migliorare l’esperienza dell’utente”
Queste formulazioni non funzionano. Le autorità di regolamentazione si aspettano che l’interesse legittimo sia articolato in modo chiaro e preciso, altrimenti l’intero test crolla.
- Il test di necessità è sottovalutato
Anche quando l’interesse viene accettato, i titolari del trattamento spesso non riescono a dimostrare che il trattamento sia necessario. Le autorità pongono sempre più spesso una domanda molto semplice: potreste ottenere lo stesso risultato in modo meno invasivo? In alcuni casi, la risposta è sì, e questo è sufficiente per invalidare la base giuridica.
- Il test di bilanciamento è il punto in cui si perdono la maggior parte dei casi
Questo è il vero campo di battaglia. L’analisi non è teorica. Si basa su come il trattamento viene percepito dall’individuo.
I fattori chiave includono:
- le aspettative ragionevoli
- livello di trasparenza
- impatto effettivo sull’interessato
Se il trattamento è inaspettato, opaco o troppo invasivo, l’interesse legittimo non regge.
La posizione del Garante sull’interesse legittimo
Ciò che risulta particolarmente interessante è quanto le recenti decisioni dell’Autorità italiana per la protezione dei dati personali, il Garante, siano in linea con questo approccio. In diversi casi, il Garante ha contestato:
- il livello insufficiente di dettaglio delle LIA
- l’uso di valutazioni standardizzate o generiche
- la mancanza di un vero e proprio test di bilanciamento documentato
Il messaggio chiave è piuttosto pragmatico: una LIA formale non è sufficiente. Deve essere specifica, motivata e basata su prove concrete.
In altre parole, limitarsi ad affermare che esiste un interesse legittimo non è sufficiente. È necessario dimostrare:
- qual è effettivamente l’interesse
- perché il trattamento è necessario
- come è stato valutato l’impatto sulle persone
- quali misure di sicurezza sono state implementate
È proprio qui che molte organizzazioni sono ancora vulnerabili.
È possibile passare all’interesse legittimo in un secondo momento?
Un altro punto chiarito dal compendio dell’EDPB è particolarmente rilevante nella pratica. Cercare di fare affidamento sul legittimo interesse dopo che un’altra base giuridica è fallita non è, nella maggior parte dei casi, accettabile. Perché? Perché mina:
- gli obblighi di trasparenza
- il diritto di opposizione degli interessati
Esistono eccezioni limitate, ma rimangono solo eccezioni. Inoltre, la posizione del Garante è che non è possibile elencare più basi giuridiche per lo stesso trattamento dei dati senza specificare in dettaglio quando si applica ciascuna base giuridica.
Interesse legittimo e IA: un’area di rischio in crescita
Questo argomento diventa ancora più rilevante quando si considerano i sistemi di IA. L’interesse legittimo è spesso utilizzato nel trattamento relativo all’IA a causa della sua flessibilità. Ma tale flessibilità può essere fuorviante. I progetti di IA comportano tipicamente:
- finalità in evoluzione
- riutilizzo di dati su larga scala
- difficoltà nel valutare l’impatto in anticipo
Tutti elementi che rendono più complessi i test di necessità e di bilanciamento. Da quanto vedo, è proprio qui che il divario tra teoria giuridica e realtà operativa è ancora troppo ampio.
L’interesse legittimo è una questione di governance
La conclusione è piuttosto chiara. L’interesse legittimo ai sensi del GDPR non è la “scelta facile”. È una delle basi giuridiche più impegnative dal punto di vista della governance. Il cambiamento a cui stiamo assistendo, sia a livello di EDPB che nelle decisioni del Garante, va verso una valutazione molto più sostanziale. Ciò significa:
- andare oltre i modelli
- integrare la LIA nei processi interni
- allineare l’analisi giuridica alla progettazione tecnica
Perché oggi il vero rischio non è scegliere la base giuridica sbagliata. È presumere che l’interesse legittimo richieda meno lavoro rispetto alle altre.
About the Author: Giulio Coraggio
