L’interesse legittimo ai sensi del GDPR continua a essere una delle basi giuridiche più utilizzate, ma anche una delle più fraintese. Ma quali sono le questioni principali da affrontare e come può essere utilizzato correttamente?
Il recente digest pubblicato dal Comitato europeo per la protezione dei dati (EDPB) trasmette un messaggio molto chiaro: il problema non è se l’interesse legittimo possa essere utilizzato, ma come viene applicato nella pratica. E se si osservano i recenti orientamenti sanzionatori, incluse le decisioni del Garante per la protezione dei dati personali, la direzione è coerente.
Cosa richiede davvero l’interesse legittimo ai sensi del GDPR
Ai sensi dell’articolo 6, paragrafo 1, lettera f), GDPR, l’interesse legittimo si fonda su un test in tre fasi:
- deve esistere un interesse legittimo;
- il trattamento deve essere necessario;
- l’interesse non deve prevalere sui diritti e le libertà degli interessati.
In teoria sembra semplice.
In pratica, è una delle basi giuridiche più complesse da rendere operative.
Il digest dell’EDPB, che analizza oltre 60 decisioni adottate mediante il meccanismo di One-Stop-Shop, conferma che l’interesse legittimo può coprire un’ampia gamma di scenari, dalla prevenzione delle frodi al marketing, fino allo sviluppo di sistemi di intelligenza artificiale. Ma questa flessibilità ha un costo: un onere di giustificazione molto più elevato.
Perché l’interesse legittimo ai sensi del GDPR continua a fallire
1. Assenza di una reale Valutazione dell’Interesse Legittimo (LIA)
Il primo problema ricorrente è di natura procedurale. Molte aziende semplicemente non svolgono una LIA adeguata prima di iniziare il trattamento. Ed è proprio qui che il meccanismo si inceppa. Le autorità di controllo sono molto chiare: la valutazione deve essere effettuata ex ante, non ricostruita a posteriori.
2. Interessi descritti in termini generici
Un altro schema ricorrente nella pratica, confermato dal digest, è l’utilizzo di finalità vaghe, come:
- “migliorare i servizi”;
- “misurare le performance”;
- “migliorare l’esperienza degli utenti”.
Queste formulazioni non sono sufficienti. I regolatori si aspettano che l’interesse legittimo sia chiaramente e precisamente articolato; in caso contrario, l’intero test viene meno.
3. Il test di necessità è spesso sottovalutato
Anche quando l’interesse è accettato, i titolari spesso non riescono a dimostrare che il trattamento sia necessario. Le autorità pongono sempre più spesso una domanda molto semplice: lo stesso risultato potrebbe essere ottenuto in modo meno invasivo? In molti casi la risposta è sì — ed è sufficiente per invalidare la base giuridica.
4. Il test di bilanciamento è il punto in cui si perdono più spesso i casi
Questo è il vero campo di battaglia. L’analisi non è teorica, ma si basa su come il trattamento viene percepito dall’interessato.
I fattori chiave includono:
- aspettative ragionevoli;
- livello di trasparenza;
- impatto effettivo sull’interessato.
Se il trattamento è inatteso, opaco o eccessivamente invasivo, l’interesse legittimo non regge.
La posizione del Garante sull’interesse legittimo
Particolarmente interessante è la coerenza tra questo approccio e le recenti decisioni del Garante per la protezione dei dati personali. In diversi casi, il Garante ha contestato:
- il livello insufficiente di dettaglio delle LIA;
- l’uso di valutazioni standardizzate o generiche;
- l’assenza di un reale test di bilanciamento documentato.
Il messaggio chiave è pragmatico: una LIA meramente formale non è sufficiente. Deve essere specifica, motivata e basata su evidenze.
In altre parole, non basta affermare che esiste un interesse legittimo. Occorre dimostrare:
- qual è concretamente l’interesse perseguito;
- perché il trattamento è necessario;
- come è stato valutato l’impatto sugli interessati;
- quali misure di salvaguardia sono state adottate.
Ed è proprio su questo punto che molte organizzazioni rimangono ancora esposte.
È possibile passare all’interesse legittimo in un secondo momento?
Un ulteriore chiarimento del digest dell’EDPB è particolarmente rilevante nella pratica: tentare di fare affidamento sull’interesse legittimo dopo che un’altra base giuridica è venuta meno, nella maggior parte dei casi, non è accettabile. Perché ciò compromette:
- gli obblighi di trasparenza;
- il diritto di opposizione dell’interessato.
Esistono eccezioni limitate, ma restano appunto eccezioni. Inoltre, la posizione del Garante è che non è possibile elencare più basi giuridiche per lo stesso trattamento senza indicare in modo puntuale quando ciascuna trova applicazione.
Interesse legittimo e IA: un’area di rischio crescente
Il tema diventa ancora più rilevante in relazione ai sistemi di intelligenza artificiale. L’interesse legittimo è spesso utilizzato nei trattamenti connessi all’IA per la sua flessibilità. Ma questa flessibilità può essere fuorviante.
I progetti di IA comportano tipicamente:
- finalità in evoluzione;
- riutilizzo su larga scala dei dati;
- difficoltà nel valutare l’impatto ex ante.
Tutti elementi che rendono i test di necessità e bilanciamento particolarmente complessi. Ed è proprio qui che emerge con maggiore evidenza il divario tra teoria giuridica e realtà operativa.
L’interesse legittimo è una questione di governance
La conclusione è chiara: l’interesse legittimo ai sensi del GDPR non è la via più semplice. È una delle basi giuridiche più esigenti dal punto di vista della governance.
Il cambiamento che si osserva, sia a livello EDPB sia nelle decisioni del Garante, va nella direzione di una valutazione sempre più sostanziale. Ciò implica:
- superare l’uso di modelli standard;
- integrare la LIA nei processi interni;
- allineare l’analisi giuridica alla progettazione tecnica.
Perché oggi il rischio reale non è scegliere la base giuridica sbagliata.
È presumere che l’interesse legittimo richieda meno lavoro delle altre.
About the Author: Giulio Coraggio
