L'8 ottobre 2024, il Comitato europeo per la protezione dei dati (EDPB) ha adottato delle linee guida sul trattamento dei dati personali sulla base di un interesse legittimo. Con le linee guida, l'EDPB intende chiarire il termine "interesse legittimo". Le aziende dovrebbero familiarizzare con le linee guida, in quanto sono destinate a fornire una maggiore certezza giuridica.
Tre requisiti per il "legittimo interesse"
Il legittimo interesse è una delle sei possibili basi giuridiche di cui all'art. 6 par. 1 GDPR, in base alle quali i dati personali possono essere legittimamente trattati. L'art. 6 par. 1 lett. f GDPR stabilisce che i dati personali possono essere trattati se ciò è necessario per salvaguardare i "legittimi interessi" del responsabile del trattamento o di una terza parte, a meno che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato.
Il termine "interesse legittimo" è ampio in senso giuridico e viene ora spiegato più dettagliatamente nelle linee guida.
Per poter invocare un interesse legittimo, il responsabile del trattamento deve soddisfare tre requisiti secondo il GEPD:
- Perseguimento di un interesse legittimo da parte del responsabile del trattamento o di una terza parte
Come sottolinea l'EDPB, solo gli interessi legittimi, formulati in modo chiaro e preciso, reali e attuali possono essere considerati legittimi. Tali interessi legittimi potrebbero, ad esempio, sussistere in una situazione in cui la persona è un cliente o è al servizio del responsabile del trattamento. - Necessità di trattare i dati personali per perseguire il legittimo interesse
Se esistono alternative adeguate, ugualmente efficaci ma meno invasive per raggiungere gli interessi perseguiti, il trattamento può essere considerato non necessario. La necessità del trattamento deve essere esaminata anche dal punto di vista del principio di minimizzazione dei dati. - Gli interessi o le libertà fondamentali e i diritti delle persone non prevalgono sul legittimo interesse del responsabile del trattamento o di terzi (test di bilanciamento)..
Il responsabile del trattamento deve garantire che il suo legittimo interesse non prevalga sugli interessi, i diritti o le libertà fondamentali dell'individuo. In questo esercizio di bilanciamento, il responsabile del trattamento deve prendere in considerazione gli interessi delle persone, l'impatto del trattamento e le loro ragionevoli aspettative, nonché l'esistenza di garanzie aggiuntive che potrebbero limitare l'impatto sulle persone.
Concentrarsi sulla necessità di elaborare
Le linee guida citano anche il trattamento dei dati personali a fini di marketing diretto come esempio, in cui i diritti degli interessati devono essere attentamente ponderati.
Tuttavia, la valutazione contenuta nelle linee guida non riguarda solo gli interessi economici, ma anche la prevenzione delle frodi, la sicurezza della rete o lo svolgimento di processi amministrativi interni.
Un requisito essenziale dell'art. 6 par. 1 lett. f GDPR è la "necessità" del trattamento. Le linee guida chiariscono che l'interesse del responsabile del trattamento può essere perseguito solo se non esistono altre misure meno invasive per raggiungere lo stesso obiettivo. La "minimizzazione dei dati", uno dei principi fondamentali del Regolamento generale sulla protezione dei dati, deve sempre essere presa in considerazione.
Suggerimento di lettura: Sentenza della Corte di giustizia europea sulle multe del GDPR: quale discrezionalità ha l'autorità di protezione dei dati?
Ponderazione di interessi legittimi e diritti o libertà fondamentali
Il passo più difficile nell'applicazione dell'art. 6 par. 1 lett. f GDPR è il bilanciamento tra gli interessi legittimi del responsabile del trattamento e i diritti e le libertà dell'interessato. Secondo le linee guida, questo bilanciamento deve avvenire prima dell'inizio del trattamento dei dati e dipende fortemente dal contesto. Devono essere presi in considerazione fattori quali il tipo di dati trattati, l'impatto del trattamento sull'interessato e le ragionevoli aspettative dell'interessato in relazione al trattamento dei dati.
Le linee guida sottolineano inoltre che il bilanciamento degli interessi è particolarmente rigoroso in alcuni casi, come il trattamento dei dati di minori o di persone particolarmente vulnerabili. Poiché i bambini hanno un particolare bisogno di protezione, è necessario che il bilanciamento degli interessi sia più rigoroso quando si trattano i loro dati.
Secondo le linee guida, il diritto di opposizione ai sensi dell'articolo 21 del GDPR è particolarmente rilevante. Se la persona interessata si oppone al trattamento dei suoi dati, il trattamento può essere proseguito solo se sussistono motivi legittimi impellenti per farlo.
Le linee guida del Comitato europeo per la protezione dei dati sull'articolo 6, paragrafo 1, lettera f del GDPR forniscono preziosi chiarimenti sull'applicazione del "legittimo interesse" come base giuridica del trattamento dei dati. 6 par. 1 lett. f GDPR forniscono preziosi chiarimenti sull'applicazione dei "legittimi interessi" come base giuridica per il trattamento dei dati. Esse sottolineano che questa base giuridica non deve essere utilizzata con leggerezza e richiede un rigoroso bilanciamento al fine di proteggere i diritti fondamentali degli interessati. Un'attenta documentazione e l'attuazione di questo esercizio di bilanciamento sono fondamentali per garantire la legittimità del trattamento.