Le nuove linee guida dell’EDPB sul trattamento dei dati personali basato sul legittimo interesse

News
Data & Technology Innovation

Le nuove linee guida dell’EDPB sul trattamento dei dati personali basato sul legittimo interesse

Contenuti
Intro

L’8 ottobre 2024 l’European Data Protection Board (“EDPB”) ha pubblicato una prima versione delle linee guida sul trattamento dei dati personali basato sull’articolo 6(1)(f) GDPR (le “Linee Guida”), avviando al contempo una consultazione pubblica che si chiuderà il 20 novembre 2024. Il documento offre chiarimenti interpretativi fondamentali su una delle basi giuridiche più discusse e complesse del GDPR: il legittimo interesse. In questo articolo esaminiamo i principali punti di interesse e novità delle Linee Guida.

Contesto e contenuto

Le Linee Guida si dividono in quattro sezioni principali: (i) la prima sezione – introduttiva – inquadra il legittimo interesse da un punto di vista normativo; (ii) la seconda è dedicata alla nozione di legittimo interesse; (iii) la terza approfondisce e integra la caratteristica più complessa del legittimo interesse, il bilanciamento tra gli interessi del titolare e i diritti degli interessati; e infine, (iv) la quarta sezione riporta alcuni dei più frequenti ambiti applicativi. Questo nuovo intervento dell’EDPB (siamo alla seconda edizione di queste Linee Guida) risulta particolarmente prezioso perché affronta le numerose incertezze interpretative che da sempre caratterizzano l’applicazione di questa base giudica nell’ambito dei trattamenti dei dati personali..

La nozione di legittimo interesse

L’EDPB delinea in modo preciso i contorni del legittimo interesse, ripercorrendo la formulazione letterale del citato articolo 6(1)(f) del GDPR e scomponendone gli elementi costitutivi: “il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”. Da tale formulazione l’EDPB, sulla scia di quanto già stabilito dalla giurisprudenza della Corte di Giustizia, ricava tre condizioni cumulative essenziali, ciascuna delle quali deve essere soddisfatta per poter legittimamente fondare il trattamento su tale base giuridica:

  • il titolare o il terzo devono perseguire un interesse “legittimo”. A tal fine, l’EDPB riconosce che individuare una casistica precisa è un’impresa ardua e non è possibile elaborare un elenco esaustivo. Tuttavia, individua tre requisiti che un interesse legittimo deve soddisfare: 1) deve essere lecito; 2) deve essere chiaramente e precisamente articolato; e 3) deve essere reale e attuale e non speculativo;
  • Il trattamento deve essere necessario per il perseguimento del legittimo interesse, ovvero non vi devono essere alternative meno invasive dotate della stessa efficacia;

occorre che vi sia un bilanciamento tra interessi del titolare e diritti dell’interessato: tale bilanciamento  si attua tramite una metodologia strutturata caso per caso, che includa considerazioni in merito alla natura dei dati, alle aspettative ragionevoli dell’interessato (ad es., un dipendente ragionevolmente si aspetta che i suoi dati vengano trattati per scopi amministrativi interni, non per finalità di marketing) e all’impatto del trattamento sui diritti fondamentali degli interessati.

Bilanciamento tra interessi contrapposti

La terza sezione delle Linee Guida esamina il rapporto tra l’articolo 6(1)(f) GDPR e i diritti degli interessati, con l’obiettivo di delineare i limiti all’applicazione della base giuridica del legittimo interesse, sottolineando la necessità di garantire la tutela dei diritti e delle libertà fondamentali degli interessati. Il legittimo interesse, come anche stabilisce l’articolo stesso del GDPR, deve essere bilanciato con i diritti degli interessati previsti dal GDPR, soccombendo rispetto a questi nel caso in cui essi siano prevalenti. In questo contesto, assumono particolare rilevanza gli obblighi di trasparenza e la necessità di facilitare l’esercizio dei diritti da parte degli interessati, inclusi il diritto di accesso, cancellazione e opposizione al trattamento.

L’EDPB evidenzia inoltre l’importanza per i titolari di integrare misure tecniche e organizzative per proteggere i diritti degli interessati durante il trattamento dei dati.

Ambiti applicativi

Nella quarta sezione delle Linee Guida, l’EDPB analizza alcune delle applicazioni pratiche più frequenti del legittimo interesse, offrendo ai titolari indicazioni concrete per orientare le proprie valutazioni.

Il marketing diretto rappresenta uno degli ambiti più significativi e complessi: in assenza di una definizione all’interno del GDPR, la Corte di Giustizia lo ha definito come un tipo di pubblicità personalizzata, caratterizzata dall’invio di comunicazioni promozionali dirette e individualizzate. La maggiore criticità in questo settore è rappresentata dalla valutazione delle ragionevoli aspettative degli interessati, i quali potrebbero non aspettarsi tale trattamento se non adeguatamente informati: sebbene il considerando 47 del GDPR lo menzioni esplicitamente come possibile legittimo interesse, l’EDPB chiarisce che questa indicazione non costituisce un’autorizzazione generale. La possibilità di basare attività di marketing diretto sul legittimo interesse richiede infatti una valutazione articolata che consideri: la natura dell’attività di marketing (distinguendo tra forme più o meno intrusive), il contesto del rapporto con l’interessato (ad esempio, l’esistenza di una relazione commerciale pregressa), e le ragionevoli aspettative degli interessati. Particolare attenzione deve essere prestata alle attività di profilazione e tracking per finalità di marketing, per le quali il test del bilanciamento difficilmente potrà avere esito positivo, specialmente quando comportino il monitoraggio degli individui su più siti web, dispositivi o servizi.

La protezione e la sicurezza delle reti informatiche costituisce un altro ambito di particolare interesse pratico: l’EDPB, richiamando anche il considerando 49 del GDPR e il considerando 121 della Direttiva NIS 2, riconosce che le misure volte a garantire un adeguato livello di sicurezza delle reti possono comportare il trattamento di dati personali e trovare fondamento nel legittimo interesse. Tuttavia, come chiarito dalla Corte di Giustizia nel caso Meta v. Bundeskartellamt, è necessario verificare che il trattamento sia effettivamente necessario per garantire la sicurezza della rete e che non esistano mezzi meno invasivi per raggiungere lo stesso obiettivo. In questo contesto, particolare attenzione deve essere prestata a soluzioni di sicurezza che comportino l’ispezione approfondita dei pacchetti (deep packet inspection) o altre forme di analisi invasiva del contenuto delle comunicazioni.

Anche l’interesse a prevenire le frodi rappresenta un ambito significativo: l’EDPB riconosce che un fornitore di servizi possa avere un legittimo interesse commerciale a garantire che i propri clienti non utilizzino impropriamente il servizio, interesse che può coincidere con quello di altri clienti e terze parti a prevenire attività fraudolente. Tuttavia, le Linee Guida sottolineano che il trattamento deve essere “strettamente necessario” per tale finalità, come espressamente indicato nel considerando 47 del GDPR. Questo implica una valutazione rigorosa della proporzionalità del trattamento e della sua durata, nonché l’adozione di garanzie appropriate. I titolari devono inoltre essere specifici riguardo al tipo di frode che intendono prevenire e ai dati effettivamente necessari per tale scopo.

Un ulteriore ambito di applicazione pratica riguarda il trattamento per finalità amministrative interne nell’ambito di gruppi di imprese: il considerando 48 del GDPR riconosce che i titolari facenti parte di un gruppo imprenditoriale possano avere un legittimo interesse a trasmettere dati personali all’interno del gruppo per finalità amministrative interne. Tuttavia, l’EDPB ribadisce che questa previsione non costituisce una “carta bianca” per la condivisione di dati all’interno del gruppo, ma richiede comunque una valutazione caso per caso della necessità del trattamento e del bilanciamento con i diritti degli interessati. Particolare attenzione deve essere prestata quando il trattamento riguarda dati dei dipendenti, considerando le specifiche tutele previste dalle normative nazionali in materia di lavoro ai sensi dell’art. 88 del GDPR.

Da menzionare infine il caso particolare della trasmissione di dati alle autorità competenti: l’EDPB, interpretando il considerando 50 del GDPR alla luce della recente giurisprudenza della Corte di Giustizia, chiarisce che la segnalazione di possibili reati o minacce alla sicurezza pubblica può costituire un legittimo interesse del titolare, ma solo in relazione a casi individuali o specifici. Non è invece ammissibile la raccolta generalizzata e preventiva di dati personali da parte di operatori privati per la segnalazione sistematica alle autorità di law enforcement.

Conclusioni

Le nuove Linee Guida dell’EDPB evidenziano che l’utilizzo del legittimo interesse come base giuridica richiede una preliminare valutazione approfondita e ben documentata. Non si tratta di una base giuridica di “ultima istanza”, ma deve essere considerata con rigore e responsabilità, sempre tenendo conto dei principi fondamentali del GDPR, come la minimizzazione dei dati e la trasparenza.

La consultazione pubblica aperta fino al 20 novembre 2024 offre un’importante opportunità per gli stakeholder di contribuire al perfezionamento di questo documento: le osservazioni provenienti dal mondo imprenditoriale, dalle associazioni di categoria e dai professionisti del settore potrebbero portare a chiarimenti ulteriori o ad aggiustamenti pratici nelle indicazioni fornite, specialmente per quanto riguarda gli ambiti applicativi più complessi come il marketing diretto o la prevenzione delle frodi. È ragionevole attendersi che la versione definitiva delle Linee Guida, prevista per il primo trimestre del 2025, possa includere esempi pratici aggiuntivi e specificazioni operative richieste dagli operatori del settore.

La vera sfida per i titolari del trattamento nei prossimi mesi sarà duplice: da un lato, dovranno rivedere i trattamenti esistenti basati sul legittimo interesse alla luce delle nuove indicazioni, documentando adeguatamente le valutazioni effettuate; dall’altro, dovranno implementare processi decisionali strutturati per i nuovi trattamenti, possibilmente già allineati con le indicazioni che emergeranno dalla consultazione pubblica. In questo senso, potrebbe essere prudente adottare fin da subito un approccio conservativo, privilegiando interpretazioni restrittive del legittimo interesse nei casi dubbi.

In un contesto in cui la digitalizzazione spinge verso trattamenti sempre più complessi e pervasivi, la capacità di condurre correttamente questa valutazione diventerà una competenza chiave per qualsiasi organizzazione. Sarà essenziale un approccio interdisciplinare che coinvolga non solo esperti privacy ma anche figure tecniche e business, accompagnato da un monitoraggio costante degli sviluppi interpretativi che seguiranno la pubblicazione della versione definitiva delle Linee Guida.

Nel frattempo, i titolari farebbero bene a iniziare a mappare i trattamenti basati sul legittimo interesse e a predisporre la documentazione necessaria per dimostrare la conformità alle nuove indicazioni; questo approccio proattivo permetterà loro di identificare eventuali criticità e pianificare le necessarie azioni correttive con adeguato anticipo rispetto all’adozione della versione definitiva delle Linee Guida, ottimizzando tempi e risorse necessari per l’adeguamento.

Download Area
Scarica il PDF
Download
Data
Articoli correlati
Guarda tutti +
Consulta i nostri professionisti
Contattaci