Trattamenti basati su legittimi interessi

Il legittimo interesse del titolare del trattamento può costituire la base giuridica del trattamento dei dati, purché siano bilanciati i diritti tra il titolare e l'interessato. 

Con la normativa precedente al GDPR, il bilanciamento tra i diritti delle parti era demandato all'Autorità per la protezione dei dati personali, cosa che ha limitato l'utilizzo di questa base giuridica per il trattamento. L'articolo 24, lettera g), del Codice della privacy prevedeva, appunto, la possibilità di trattare dati, con esclusione della diffusione (a differenza della direttiva europea, scelta questa del legislatore proprio per demandare il bilanciamento al solo Garante), nei casi individuati dai Garanti per perseguire un legittimo interesse di un titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato.

Nell'ambito del nuovo principio di responsabilizzazione, con il Regolamento generale europeo (GDPR) compete, invece, alle aziende effettuare tale bilanciamento, consentendone un'applicazione generalizzata, fermo restando la possibilità di verifica successiva da parte del Garante. L'azienda dovrà, quindi, determinare se le sue azioni sono in linea con le ragionevoli aspettative dell'utente. Si tratta, purtroppo, di termini vaghi che potrebbero consentire abusi nel trattamento dei dati. Il bilanciamento degli interessi contraposti, infatti, è un'operazione complessa. Concedere ai privati la possibilità di tararsi le leggi su misura, ricorrendo ad una valutazione discrezionale dei contrapposti interessi, potrebbe condurre anche alla vanificazione della normativa, sicuramente ad un'incertezza applicativa in grado di alimentare controversie e diseguaglianze. 

Se il trattamento è basato sui legittimi interessi non occorre il consenso dell'interessato, purché, però, non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato (in special modo se questi è un minore) tenuto conto delle ragionevoli aspettative dello stesso in base alla relazione col titolare del trattamento (Considerando 47 del Regolamento Generale europeo). 
Occorre però informare l'interessato del fatto che i suoi dati sono trattati in base ai legittimi interessi, senza però che sia necessario spiegare come il titolare opera il bilanciamento tra i diritti. 

Per l'utilizzo dei legittimi interessi quale base giuridica del trattamento occorrono alcuni requisiti: 

1) il titolare del trattamento ha necessità di elaborare il dato per fini propri o di terzi (ad esempio, se una società finanziaria cerca un suo cliente che è in ritardo coi pagamenti, la società ha il legittimo interesse ad ottenere il nuovo indirizzo del cliente anche in assenza di consenso specifico); 
2) occorre bilanciare gli interessi del titolare con quelli dell'interessato, e quindi il trattamento appare ingiustificato se ha degli effetti pregiudizievoli sui diritti e le libertà, o interessi legittimi, del singolo (riportandoci all'esempio di prima, è evidente che l'interesse del cliente a non pagare le tasse non può essere ritenuto legittimo o giustificato); 
3) il trattamento delle informazioni deve essere equo e rispettare i principi di protezione dei dati (quindi la società finanziaria deve garantire che i dati siano precisi, aggiornati, non eccessivi - la società ottiene solo i dati necessari allo scopo, rintracciare il cliente -. 

Anche se il Regolamento non contiene un elenco tassativo dei casi di “legittimo interesse”, il Considerando 47 si esemplificano alcune circostanze nelle quali possono sussistere motivi legittimi per il trattamento, cioè “quando esista una relazione pertinente e appropriata tra l'interessato e il titolare del trattamento, ad esempio quando l'interessato è un cliente o è alle dipendenze del titolare del trattamento”. Ovviamente non si tratta di un'autorizzazione generalizzata al trattamento dei dati, ma è sempre richiesta un'attenta valutazione al fine di verificare se i diritti dell'interessato possano prevalere sui legittimi interessi del titolare, nel caso in cui, ad esempio, l'interessato può ragionevolmente attendersi che non vi sia un ulteriore trattamento dei suoi dati. 

In conclusione, l'azienda, prima di iniziare qualsiasi trattamento dei dati sulla base dei legittimi interessi, deve non solo valutare se ha correttamente preso in considerazione tutti i rischi in gioco, ma anche raccogliere (e documentare, vedi registro dei trattamenti) elementi sufficienti per essere in grado di dimostrare che gli interessi relativi sono stati ben bilanciati tra loro. I titolari dovrebbero mantenere un registrodelle valutazione in tema di legittimi interessi al fine di provare il corretto bilanciamento dei diritti. 

In base al Considerando 47, Il trattamento dei dati per finalità di marketing diretto può essere considerato legittimo interesse. Il fatto di menzionare espressamente il marketing diretto quale trattamento ammesso in base ai legittimi interessi, però, non autorizza l'azienda ad un trattamento libero dei dati personali, dovendo essa comunque contemperare i suoi interessi con i diritti della persona e con gli stessi interessi particolari degli interessati al trattamento. Ad esempio, se l'interessato è già cliente dell'azienda sussiste il bilanciamento dei diritti. 

L'interesse legittimo deve essere reale e non troppo vago. Ad esempio, può essere applicato all'elaborazione dei dati in funzione della protezione contro le frodi, per misura di sicurezza, o il trasferimento di dati tra parti diverse della stessa azienda. E questo specialmente nel caso in cui l'interessato si aspetta quel tipo di elaborazione dei dati. 

Ulteriori casi nei quali possono essere invocati i legittimi interessi per il trattamento dei dati sono: 
- elaborazione al fine di verifica dell'età; 
- valutazione del rischio; 
- per l'esercizio del diritto di opposizione (vedi paragrafo successivo) ad esempio nel marketing diretto, nel qual caso può essere necessario mantenere la mail per impedire l'invio di ulteriori comunicazione commerciali; 
- personalizzazione del sito web per migliorare l'esperienza dell'utente; 
- per analisi web, verifica del numero di visitatori del sito, commenti, ecc...; 
- per la comunicazione di reati all'autorità giudiziaria; 
- in ambito lavorativo l'utilizzo di dati di localizzazione (smartphone, GPS). 

Nel caso di trattamenti basati su legittimi interessi, l'interessato ha il diritto di opporsi, in qualsiasi momento e gratuitamente, al trattamento dei dati personali che riguardano la sua situazione particolare (Considerando 70 del Regolamento Generale). Incombe sul titolare del trattamento dimostrare che i suoi interessi legittimi cogenti prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell'interessato. L'interessato deve essere informato della possibilità di avvalersi tale diritto (tramite l'informativa). 

Ricordiamo che in base ai legittimi interessi non è possibile trattare i dati sensibili, per i quali occorre il consenso.  

In relazione ai lgittimi interessi, il Garante Privacy italiano ha emesso vari provvedimenti dai quali si possono desumere alcuni parametri per un corretto bilanciamento: 

- provvedimento su misure biometriche (2014); 
- provvedimento su videosorveglianza (2010); 
- verifica preliminare su transazioni commerciali (2017), col quale è stato ritenuto ammissibile un trattamento aziendale di dati connesso ad un sistema antifrode; 
- verifica preliminare su banca dati in ambito assicurativo (2017). 

Modifiche a seguito della legge di bilancio 2018

Con la legge di bilancio del 2018 (Legge 27 dicembre 2017, n. 205, G.U. n.302 del 29-12-2017 - Suppl. Ordinario n. 62 -commi da 1020 a 1024-), il legislatore italiano mostra di non gradire molto l'utilizzo dei legittimi interessi quale base giuridica di un trattamento. Infatti, la finanziaria prescrive che i responsabili del trattamento dei dati che trattano i dati personali mediante mezzi automatizzati o " nuove tecnologie " sulla base dei legittimi interessi devono: 
- inviare una notifica preventiva all'Autorità Garante per la protezione dei dati, allegando una nota informativa (informativa sulla privacy o semplicemente un modello per fornire dettagli sull'attività di trattamento dei dati da non incorporare nell'informativa sulla privacy, non è chiaro!) da redigere secondo un modello e le linee guida che l'autorità emetterà;
- attendere l'approvazione dell'autorità, ma nel frattempo, trascorsi 15 giorni dall'invio del materiale all'autorità, potrà comunque iniziare il trattamento (non è un consenso tacito, in quanto l'autorità comunque proseguirà la sua verifica). 

In questo modo di fatto si replica l'approvazione prevista con la precedente normativa modificando le norme previste dal regolamento europeo che dovrebbe, invece, applicarsi senza alcuna modifica a tutti gli Stati dell'Unione europea. Introducendo, inoltre, un controllo preventivo che è in contrasto con il principio di responsabilità alla base del GDPR. 
E' ovvio che la norma creerà anche problemi pratici, visto che oggi tutti i trattamenti sono basati su mezzi automatizzati e quindi l'autorità sarà subissata di notifiche. 

Se dovesse rimanere tale limitazione, il trattamento di dati a fini di marketing diretto potrà essere operato in base all'art. 88, comma 3, dello schema di Decreto attuativo del Regolamento europeo (Decreto in attesa di approvazione).