Legitimate Interest Assessment: Riflessioni e Spunti Pratici
di Roberta Di Vieto, Mattia Salerno e Paola Redaelli
Il Regolamento Europeo n. 679/2016 (meglio noto come GDPR) prevede che il trattamento dei dati personali sia lecito allorquando vi siano valide ragioni legali che lo giustificano (ossia quando ricorrano le c.d. “lawful basis”)[1].
L’art. 6 del GDPR individua sei base giuridiche del trattamento e, nel novero delle condizioni di liceità ivi elencate, alla lettera f), vi è il legittimo interesse del titolare del trattamento o di terzi che può costituire la base giuridica del trattamento a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.
Pertanto, sin da una lettura prima facie della disposizione in commento, si comprende che il legittimo interesse rappresenta il fondamento di liceità del trattamento maggiormente versatile e flessibile in quanto idoneo ad essere utilizzato in variegati contesti.
Ma si badi bene, la scelta di fondare un trattamento sul proprio legittimo interesse non può avvenire sic et sempliciter, poiché è necessario che il titolare del trattamento effettui preliminarmente una complessa operazione di bilanciamento degli interessi contrapposti che vengono in rilievo.
Sul punto, per i giuristi che da anni si occupano di data protection, il bilanciamento tra i diritti delle parti non rappresenta un concetto inedito o nuovo, in quanto il Codice della Privacy, nella sua precedente formulazione, già prevedeva che il trattamento potesse fondarsi sul legittimo interesse del titolare. Tuttavia, la peculiarità del precedente quadro normativo risiedeva nel fatto che il giudizio in ordine al bilanciamento dei diritti/interessi delle parti fosse demandato all’Autorità Garante per la protezione dei dati [2].
Il GDPR, in piena controtendenza rispetto al legal framework precedente, ha invece lasciato ai titolari del trattamento il compito (arduo) di valutare se il perseguimento del proprio interesse (legittimo) non prevalga sui diritti, le libertà e gli interessi degli individui. Sul punto, infatti, il Considerando 69 del GDPR prevede expressis verbis che: “è opportuno che incomba al titolare del trattamento dimostrare che i suoi interessi legittimi cogenti prevalgano sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato”.
Tale operazione ermeneutica impone quindi al titolare del trattamento di verificare, in ossequio al principio di proporzionalità, la sussistenza di un equilibrio tra il danno che gli interessati potrebbero patire ove il trattamento avesse luogo e il pregiudizio che potrebbe essere arrecato al titolare del trattamento ove rinunciasse al trattamento. Siffatta scelta legislativa si pone lungo la direttrice tracciata dal nuovo quadro normativo europeo in materia di protezione dei dati personali che ha inteso elevare a criterio guida e principio cardine il concetto di accountability [3].
In tale contesto risulta pertanto necessario che i titolari del trattamento conducano (e soprattutto documentino) le attività di valutazione poste alla base della scelta di utilizzare il legittimo interesse quale fondamento di liceità del trattamento.
A tale riguardo, sarebbe auspicabile che i titolari del trattamento si dotino di policy e procedure ad hoc finalizzate a enucleare la metodologia che si intende utilizzare ver valutare l’applicabilità o meno del legittimo interesse quale base giuridica idonea a “giustificare” il trattamento di dati personali che il Titolare intende effettuare nonché a definire ruoli e responsabilità dei soggetti coinvolti nell’attività di valutazione.
Resta inteso che è necessario testare con cadenza periodica l’efficacia di tali procedure, nonché la loro concreta applicazione da parte delle funzioni aziendali coinvolte.
Sul punto, è, altresì, raccomandabile che l’esecuzione della valutazione in parola venga documentata in maniera dettagliata e trasparente, onde poter verificare (anche ex post ed eventualmente dalle autorità competenti) la correttezza non solo dell’esito di siffatta valutazione, ma anche del procedimento che ha condotto il titolare a invocare il proprio legittimo interesse come fondamento giuridico per il trattamento.
Fermo quanto precede, il presente contributo si pone l’obiettivo di poter fornire delle indicazioni pratiche ai titolari del trattamento in ordine alle modalità di conduzione di un c.d. legitimate interest assessment (c.d. LIA) ossia una valutazione finalizzata a verificare se i data controller possano fondare il trattamento sul proprio legittimo interesse ai sensi dell’art. 6, par. 1 lett. f) GDPR.
LE FASI DEL LEGITIMATE INTEREST ASSESSMENT
In via preliminare, giova sottolineare che le fasi del legitimate interest assessment riportate tengono conto delle indicazioni fornite nel tempo dal legislatore europeo, dal Gruppo di Garanti Europei[4] e da Autorità Garanti Privacy[5].
Ciò nonostante, si fa presente che il Titolare del trattamento, chiamato a svolgere tale valutazione, potrebbe comunque ritenere necessario, in un’ottica di accountability e in relazione alla natura del trattamento oggetto di analisi, l’espletamento di diverse e/o ulteriori indagini.
Fermo quanto precede, in linea di principio, il legitimate interest assessment potrebbe constare di tre distinte fasi:
- Prima Fase: “Purpose Test”;
- Seconda Fase: “Necessity Test”;
- Terza Fase: “Balancig Test”;
La prima fase del test, il c.d. “purpose test”, si incentra sulla identificazione dell’interesse che il titolare del trattamento intende perseguire. Quindi, il data controller dovrà domandarsi quale sia l’interesse concreto ed effettivo che lo anima, avendo cura di non arrestarsi ad una valutazione meramente astratta o teorica ma incentrandosi su quelli che sono i benefici che potrebbe (il titolare stesso o terzi) trarre dal trattamento in esame.
Nel corso della prima fase del test, occorrerà altresì riflettere in ordine al fatto che l’interesse sia “legittimo”. A tal proposito, si renderà quindi necessario interrogarsi sul fatto che l’interesse, come identificato, possa essere perseguito secondo modalità che sono conformi alla legislazione vigente in materia di protezione dei dati personali [6].
Si pensi al caso di una compagnia assicurativa che intenda avviare un trattamento di dati personali dei propri clienti nel contesto dell’implementazione delle misure finalizzate a contrastare le frodi assicurative. In tale contesto, emerge il primario interesse del titolare del trattamento di prevenire le frodi e, allo stesso tempo, potrebbe configurarsi un interesse anche della clientela (e dei prospect), in quanto uno dei fattori che determinano un aumento dei premi assicurativi è rappresentato dal costo delle frodi [7].
La seconda fase del test, denominata “necessity test”, è invece finalizzata a indagare se il trattamento sia effettivamente e realmente necessario per il perseguimento dell’interesse del titolare del trattamento, tenendo conto del possibile pregiudizio che ne deriverebbe al titolare qualora non effettuasse il trattamento in parola.
Ne consegue che, qualora il perseguimento dell’obiettivo del titolare possa essere ragionevolmente raggiunto mediante modalità diverse e meno invasive per gli interessati, la presente fase del test avrà esito negativo, sicché il titolare non potrà invocare il proprio legittimo interesse quale base del trattamento.
La terza fase del LIA è dedicata al cosiddetto balancing test, ossia il cuore e l’essenza dell’intero assessment in quanto si tratta della fase in cui il titolare è chiamato ad effettuare un vero e proprio test comparativo tra i suoi interessi da un lato e gli interessi, le libertà e i diritti degli interessati, dall’altro lato.
In via preliminare, è bene rammentare che il balancing test deve essere condotto ispirandosi ai principi di fairness: il titolare del trattamento deve sempre tenere in debita considerazione e ponderare i diritti e le libertà degli individui senza falsare arbitrariamente il risultato del test.
Al fine di espletare il balancing test, il data controller dovrà tenere in considerazione una serie di elementi, ivi incluse:
- le ragionevoli aspettative nutrite dall’interessato in base alla relazione intrattenuta da quest’ultimo con il titolare del trattamento
- il probabile impatto del trattamento sugli individui e
- la possibilità per il titolare di implementare presidi che possano mitigare l’impatto negativo sugli interessati.
Con specifico riferimento ai primi due elementi sopra citati, si raccomanda ai titolari del trattamento di interrogarsi su quali siano le possibili aspettative dell’interessato che ha fornito i propri dati personali al titolare del trattamento, interrogandosi, quindi, su ciò̀ che un individuo ragionevole valuterebbe come accettabile in quelle circostanze, nonché́ sulle conseguenze dell’attività̀ di trattamento dei dati per gli interessati (“impatto”) [8];.
Si pensi al caso di una società che intenda inviare – mediante posta elettronica – comunicazioni commerciali ai propri clienti al fine di informarli in ordine ai prodotti e servizi simili rispetto a quelli già acquistati in precedenza onde poter consolidare il rapporto con gli stessi.
Nell’ambito di un test di bilanciamento, il Titolare del trattamento potrebbe ritenere, da un lato, che i clienti possano ragionevolmente attendersi (o in alcuni casi desiderare) di ricevere tali comunicazioni e, dall’altro lato, che il trattamento in parola presenti un impatto limitato sugli individui.
Fermo tutto quanto precede, è bene rammentare che il legitimate interest assessment potrà articolarsi in più sotto-fasi sulla base del grado di complessità e di invasività del trattamento oggetto di analisi.
All’esito del legitimate interest assessment, il titolare del trattamento potrebbe ritenere che il bilanciamento penda a favore dei diritti e degli interessi degli interessati sicché, conseguentemente, non sarà possibile procedere con l’attività di trattamento. Qualora, per converso, l’esito del LIA sia positivo, il titolare del trattamento potrà avviare l’attività di trattamento avendo cura di implementare gli ulteriori presidi richiesti dalla normativa applicabile (e.g. informativa nei confronti degli interessati, garantire il diritto di opposizione degli interessati etc.).
CONCLUSIONI
Alla luce delle osservazioni sopra proposte, si desume che il sotto-sistema delineato dalla base giuridica in commento enuclea in sé una serie di elementi che impongono al titolare del trattamento di “maneggiare con cura” la condizione di liceità di cui all’art. 6, par. 1, lett. f) GDPR, in quanto caratterizzata da un perimetro molto sfumato e facilmente travisabile.
Ad oggi, dalla lettera delle informative privacy implementate dalle società, si può constatare un uso (e forse un abuso) del legittimo interesse quale base giuridica del trattamento.
A tale riguardo, si auspica che ogniqualvolta un titolare invochi nella propria privacy policy il legittimo interesse come base giuridica di un trattamento, vi sia un corrispondente legitimate interest assessment al monte di tale dichiarazione.
Sul punto, si raccomanda, quindi, alle società non solo di predisporre adeguate procedure per l’utilizzo del legittimo interesse quale base giuridica del trattamento, ma di garantire anche una loro effettiva e efficace applicazione.
Da ultimo, nel novero delle prescrizioni di cui intende dotarsi la società si raccomanda di prevedere che ciascuna fase della valutazione in parola sia debitamente documentata (mediante apposito registro del LIA), ivi inclusa l’eventuale raccolta del parere (scritto) del DPO, eventualmente nominato, sia in una fase antecedente che successiva rispetto alla conduzione del legitimate interest assessment.
[1] Cfr. Art. 6, par. 1, Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.
[2] Art. 24, co.1, lett. g), D.lgs. 30 giugno 2003, n. 196. Si fa presente che l’articolo in parola è stato abrogato dal D.lgs. 10 agosto 2018, n. 101.
[3] Sul concetto di accountability, cfr. Finocchiaro G., GDPR Tra novità e discontinuità – il principio di accountability in 12, Giurisprudenza Italiana, 2019, 2777 ss.
[4] Cfr. Article 29 Data Protection Working Party, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, 9 aprile 2014, 844/14/EN WP 217.
[5] Sul punto, si veda la guida pubblicata dall’Information Commissioner’s Office: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/.
[6] Cfr. nota 4.
[7] Cfr. Data Protection Network, Guidance on the use of Legitimate Interests under the EU General Data Protection Regulation, www.dpnetwork.org.uk
[8] Sul punto, il Considerando 47 del Regolamento Europeo n. 679/2016 prevede che “I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento”.