Il Comitato europeo per la protezione dei dati (EDPB) ha recentemente pubblicato le Linee guida 1/2024 sul trattamento dei dati personali basato sull’articolo 6, paragrafo 1, lettera f), del GDPR. Le linee guida sono state concepite per aiutare i titolari del trattamento a determinare se possono invocare l’articolo 6, paragrafo 1, lettera f), come base giuridica applicabile, allineandosi al principio di accountability previsto dal GDPR.
Le linee guida sottolineano che la sola individuazione di un interesse legittimo non è sufficiente per invocare l’articolo 6, paragrafo 1, lettera f), del GDPR. I titolari del trattamento devono anche garantire che il trattamento sia strettamente necessario per perseguire tale interesse e che non prevalga sugli interessi o sui diritti e le libertà fondamentali dell’interessato. Le linee guida stabiliscono una procedura di valutazione in tre fasi per determinare se l’articolo 6, paragrafo 1, lettera f), è applicabile, come indicato di seguito.
Fase 1: identificazione di un interesse legittimo
Il primo passo per determinare se l’articolo 6, paragrafo 1, lettera f), possa fungere da base giuridica è identificare se l’interesse del titolare del trattamento o di terzi sia “legittimo”. Si tratta di un aspetto critico perché non tutti gli interessi sono automaticamente qualificabili come legittimi ai sensi dell’articolo 6, paragrafo 1, lettera f). In questo senso anche la Corte di giustizia dell’Unione europea (CGUE) ha sottolineato che i titolari del trattamento devono assicurarsi che i loro interessi siano effettivamente legittimi prima di passare alle fasi successive del processo di valutazione.
Sebbene il GDPR non fornisca un elenco esaustivo di interessi legittimi, sia il GDPR che la CGUE hanno riconosciuto come validi alcuni interessi, come la protezione della proprietà, della salute e della vita dei comproprietari di un edificio, il miglioramento dei prodotti e la valutazione del merito creditizio delle persone. In ogni caso, l’interesse di un titolare può essere considerato legittimo se soddisfa i seguenti criteri cumulativi:
- È legittimo: l’interesse deve essere legittimo e non deve essere in contrasto con la normativa dell’UE o degli Stati membri;
- È articolato in modo chiaro e preciso: l’interesse deve essere chiaramente articolato per garantire un giusto equilibrio con i diritti degli interessati;
- È reale e attuale: l’interesse deve essere presente ed effettivo al momento del trattamento e non speculativo.
Fase 2: valutare la necessità del trattamento
Una volta stabilito un interesse legittimo, il passo successivo consiste nel determinare se il trattamento dei dati personali è necessario per perseguire tale interesse. Nel diritto dell’UE, il concetto di “necessità” ha un significato proprio e deve essere in linea con gli obiettivi della normativa privacy. Ciò comporta un bilanciamento tra la necessità del titolare del trattamento dei dati e i diritti fondamentali degli interessati, tra cui il diritto alla privacy e alla protezione dei dati personali.
Secondo l’EDPB, il test sulla necessità del trattamento deve considerare se l’interesse legittimo possa essere perseguito con mezzi meno invasivi che non incidano sui diritti dell’interessato. Ad esempio, se un titolare del trattamento può raggiungere i suoi obiettivi trattando una quantità minore di dati personali o utilizzando dati non personali, tali alternative devono essere prese in considerazione.
Un elemento cruciale di questa fase è il principio di minimizzazione dei dati di cui all’articolo 5, paragrafo 1, lettera c), del GDPR. Questo principio stabilisce che i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario” per le finalità per cui sono trattati. Il titolare del trattamento deve garantire che i dati personali utilizzati siano essenziali per il perseguimento del legittimo interesse e che non vengano trattati dati eccessivi.
Fase 3: esecuzione del test di bilanciamento
La fase finale è il test di bilanciamento, che richiede ai titolari del trattamento di soppesare il loro legittimo interesse rispetto ai diritti e alle libertà dell’interessato. Questa è spesso la parte più complessa del processo di valutazione. Anche se il titolare del trattamento ha stabilito un interesse legittimo e ha dimostrato che il trattamento è necessario, il trattamento non può essere effettuato se i diritti dell’interessato prevalgono su tale interesse.
In questo esercizio di bilanciamento, l’EDPB raccomanda ai titolari del trattamento di considerare i seguenti fattori:
- gli interessi, i diritti e le libertà fondamentali dell’interessato, che non comprendono solo il diritto alla protezione dei dati e alla privacy, ma anche altri diritti, come la libertà di espressione e l’accesso alle informazioni. I titolati del trattamento devono quindi valutare l’impatto che il loro trattamento avrà anche su questi diritti.
- l’impatto del trattamento sugli interessati, considerando la natura dei dati da trattare, il contesto del trattamento e le eventuali ulteriori conseguenze del trattamento;
- le ragionevoli aspettative degli interessati, in quanto i titolari del trattamento devono considerare se l’interessato possa ragionevolmente aspettarsi che i suoi dati vengano trattati in un determinato modo. Ad esempio, il fatto che determinati dati siano trattati tipicamente in un settore non significa che l’interessato si aspetti ragionevolmente tale trattamento;
- il bilanciamento finale dei diritti e degli interessi contrapposti, compresa la possibilità di adottare ulteriori misure di attenuazione. Infatti, nel caso in cui gli interessi, i diritti e le libertà dell’interessato sembrino prevalere sui legittimi interessi perseguiti, il titolare del trattamento può prendere in considerazione l’introduzione di misure di attenuazione per limitare l’impatto del trattamento sull’interessato. Tuttavia, tali misure si devono considerare in aggiunta al requisito fondamentale della conformità al GDPR.
Conclusioni
Le linee guida dell’EDPB forniscono indicazioni per determinare quando un titolare del trattamento può fare affidamento sul legittimo interesse ai sensi dell’articolo 6, paragrafo 1, lettera f), del GDPR. Sebbene il ricorso al legittimo interesse possa offrire una certa flessibilità, esso deve essere attentamente bilanciato con i diritti degli interessati. Tutti i titolari del trattamento dovranno essere in grado di dimostrare che tutte e tre le fasi – identificare un interesse legittimo, garantire la necessità e condurre il test di bilanciamento – sono state effettuate in modo approfondito prima di trattare i dati personali sulla base di un legittimo interesse.
Su un simile argomento può essere d’interesse l’articolo “Il Garante privacy dice no alla profilazione tramite cookie basata sul legittimo interesse“.