ThinkTank_Logo_nero
L'attesa è finita
Ailance™ ThinkTank è qui!
Per saperne di più

La Corte di giustizia europea interpreta il "legittimo interesse" ai sensi dell'art. 6 par. 1 lett. f GDPR

La Corte di giustizia europea ha dovuto interpretare quando esiste un interesse legittimo ai sensi dell'art. 6 par. 1 lett. f GDPR.
Categorie:
,

Quando esiste un interesse legittimo? Nell'ambito di una richiesta di pronuncia pregiudiziale, la Corte di giustizia europea (CGUE) ha dovuto interpretare il termine ai sensi dell'art. 6 par. 1 lett. f GDPR. In particolare, si trattava di stabilire se un'associazione sportiva possa trasmettere i dati personali dei propri membri a sponsor per scopi commerciali senza il loro esplicito consenso.

L'associazione trasmette i dati dei soci agli sponsor

Nel 2018, la Royal Dutch Lawn Tennis Association (Koninklijke Nederlandse Lawn Tennisbond, KNLTB) ha trasferito i dati personali dei propri soci a due sponsor:

  • SportshopsDirect BV (TennisDirect), un'azienda che vende articoli sportivi.
    Il KNLTB ha fornito a TennisDirect i nomi, gli indirizzi e i luoghi di residenza dei suoi soci per l'invio di una lettera promozionale. TennisDirect ha a sua volta inviato questi dati al fornitore di servizi postali PostNL.
  • Nederlandse Loterij Organisatie BV (NLO), il più grande fornitore di giochi d'azzardo e di casinò dei Paesi Bassi.
    Oltre ai nomi, agli indirizzi e ai luoghi di residenza dei soci, il KNLTB ha fornito all'NLO anche le date di nascita, i numeri di telefono fisso e mobile, gli indirizzi e-mail e i nomi dei circoli di tennis a cui appartenevano i soci. Lo scopo di questo trasferimento era una campagna pubblicitaria telefonica nell'ambito della quale l'NLO trasmetteva questi dati ai call center che aveva incaricato.


Il KNLTB ha ricevuto un compenso dagli sponsor per la fornitura dei dati personali.

A seguito di reclami da parte di alcuni soci del KNLTB, l'autorità olandese di vigilanza sulla protezione dei dati Autoriteit Persoonsgegevens (AP) ha riscontrato che il KNLTB ha violato l'art. 6 par. 1 lett. a e f in combinato disposto con l'art. 5 par. 1 lett. a GDPR in quanto ha divulgato i dati personali dei suoi soci senza il loro consenso e senza una base legittima. Nella sua decisione del 20 dicembre 2019, l'AP ha pertanto imposto al KNLTB una multa di 525.000 euro.

Il KNLTB ha presentato ricorso contro questa decisione al Rechtbank Amsterdam (Tribunale distrettuale di Amsterdam, Paesi Bassi).

Interesse legittimo come base giuridica per la divulgazione dei dati

Secondo il KNLTB, il conferimento dei dati si basava su un interesse legittimo ai sensi dell'art. 6 par. 1 lett. f GDPR. Tale interesse consisteva, da un lato, nello stabilire una stretta relazione tra l'associazione e i suoi soci e, dall'altro, nel poter offrire ai soci un valore aggiunto per la loro iscrizione sotto forma di sconti e offerte da parte di partner che consentono ai soci di giocare a tennis a un prezzo vantaggioso e conveniente.

L'AP, invece, è del parere che solo gli interessi che sono legali e stabiliti in una legge sono interessi legittimi ai sensi dell'articolo 6, paragrafo 1, lettera f del GDPR. Si deve trattare di interessi considerati degni di tutela dal legislatore dell'Unione o dal legislatore nazionale e da valutare sulla base di un "criterio positivo". Nel caso in esame, non si tratta di tali interessi.

Poiché il Tribunale distrettuale di Amsterdam nutriva dubbi sull'interpretazione del termine "interessi legittimi" ai sensi dell'art. 6 par. 1 lett. f GDPR, ha sospeso il procedimento e ha sottoposto alla CGUE le seguenti questioni pregiudiziali:

  1. Come deve interpretare il giudice del rinvio il termine "interesse legittimo" ai sensi dell'articolo 6, paragrafo 1, punto 1, lettera f), del GDPR?
  2. Tale termine deve essere interpretato come lo interpreta il convenuto? Copre solo gli interessi previsti dalla legge e stabiliti da uno statuto?
  3. Oppure qualsiasi interesse può essere un interesse legittimo, purché non sia in contrasto con la legge? Più precisamente: Un interesse puramente commerciale e l'interesse attuale, ossia la fornitura di dati personali a pagamento senza il consenso dell'interessato, possono essere classificati come interessi legittimi in determinate circostanze? In caso affermativo, quali circostanze determinano se un interesse puramente commerciale è un interesse legittimo?

Requisiti per la liceità del trattamento ai sensi dell'art. 6 par. 1 lett. f GDPR

Secondo la Corte di giustizia europea, il trattamento dei dati personali ai sensi dell'art. 6 par. 1 lett. f GDPR è lecito a tre condizioni:

  1. Il responsabile del trattamento o un terzo deve avere un interesse legittimo.
    L'interesse di un responsabile del trattamento non deve essere necessariamente regolato dalla legge. Secondo la Corte di giustizia europea, un ampio spettro di interessi può essere generalmente considerato legittimo. Questo include anche gli interessi economici. Tuttavia, l'interesse legittimo dichiarato deve essere legittimo.

  2. Il trattamento dei dati personali deve essere necessario per la realizzazione del legittimo interesse.
    Il requisito della necessità del trattamento dei dati deve essere esaminato insieme al principio della "minimizzazione dei dati", sancito dall'art. 5 par. 1 lett. c GDPR, che richiede che i dati personali siano "adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per le quali sono trattati".
    A questo proposito, la CGUE scrive nella sua sentenza: "Per quanto riguarda la condizione della necessità di tale trattamento per la realizzazione dell'interesse in questione e, in particolare, l'esistenza di mezzi altrettanto appropriati e meno invasivi per i diritti e le libertà fondamentali degli interessati, va osservato che un'associazione sportiva come il KNLTB, che intenda divulgare a terzi i dati personali dei propri soci a titolo oneroso, potrebbe, in particolare, informare preventivamente i propri soci e chiedere loro se desiderano che i loro dati siano divulgati a terzi a fini pubblicitari o di marketing. Questa soluzione consentirebbe ai soci interessati di mantenere il controllo sulla divulgazione dei loro dati personali in conformità con il principio della minimizzazione dei dati e quindi di limitare la divulgazione di tali dati a quanto effettivamente necessario e pertinente per le finalità per le quali tali dati sono trasmessi e trattati."

  1. Gli interessi o i diritti e le libertà fondamentali della persona i cui dati devono essere protetti non devono prevalere sull'interesse legittimo del responsabile del trattamento o di terzi.
    La Corte di giustizia europea ha stabilito che i soci del KNLTB non potevano ragionevolmente aspettarsi che i loro dati personali fossero trasmessi a terzi senza il loro consenso. La Corte ha criticato in particolare il trasferimento dei dati all'NLO, un fornitore di servizi di gioco d'azzardo, in quanto ciò potrebbe mettere i soci in situazioni inaspettate, come ad esempio possibili misure pubblicitarie nel settore del gioco d'azzardo, che potrebbero avere effetti potenzialmente dannosi.

Nella sua sentenza, la CGUE interpreta l'art. 6 par. 1 lett. f GDPR nel senso che "il trattamento dei dati personali consistente nella divulgazione dei dati personali dei membri di un'associazione sportiva per perseguire l'interesse economico del responsabile del trattamento in cambio di un pagamento può essere considerato necessario ai sensi di tale disposizione ai fini degli interessi legittimi perseguiti dal responsabile del trattamento solo se il trattamento è strettamente necessario ai fini dell'interesse legittimo in questione e se, tenuto conto di tutte le circostanze pertinenti, gli interessi o i diritti e le libertà fondamentali di tali membri non prevalgono sull'interesse legittimo. Sebbene questa disposizione non richieda che tale interesse sia determinato dalla legge, essa richiede che il legittimo interesse fatto valere sia legittimo".

Suggerimento di lettura: L'EDPB pubblica le linee guida sul legittimo interesse

Interessi legittimi rilevanti per la pratica

Questa sentenza ha implicazioni di vasta portata per la pratica del trattamento dei dati da parte delle società sportive e di altre organizzazioni che trattano regolarmente i dati personali dei loro membri. Chiarisce che i soli interessi economici non sono una base sufficiente per il trattamento dei dati personali senza il consenso degli interessati. In ogni caso, le organizzazioni devono soppesare attentamente gli interessi e garantire la salvaguardia dei diritti e delle libertà degli interessati.

L'ottenimento del consenso esplicito degli interessati rimane quindi la base giuridicamente più sicura per il trattamento dei dati personali in molti casi, in particolare per scopi commerciali.

La sentenza sottolinea l'importanza della protezione dei dati e della tutela dei diritti fondamentali nel trattamento dei dati personali e stabilisce chiari limiti per l'utilizzo dei dati a fini commerciali.

Fonte: Sentenza della Corte di giustizia europea C-621/22 del 4 ottobre 2024

Contattateci
Tag:
Condividi questo post :

Categorie più popolari

Newsletter

Iscrivetevi alla nostra newsletter sulla protezione dei dati per ricevere gli ultimi aggiornamenti, consigli e approfondimenti direttamente nella vostra casella di posta elettronica.
Abbonarsi

Ultimi messaggi

it_ITItalian
de_DEGerman en_USEnglish fr_FRFrench it_ITItalian