Si tratta di una previsione del Gdpr per l’uso dei dati. Ma è una materia molto delicata e non è sempre semplice stabilire quando un interesse è legittimo
Negli ultimi tempi, sempre più spesso le informative privacy dei siti internet fanno riferimento al concetto di legittimo interesse, quale una delle basi giuridiche utilizzabili oltre al consenso dell’interessato per il trattamento dei dati personali. Si tratta di un principio che consente al titolare di effettuare un bilanciamento tra l’interesse legittimo proprio o di terzi e i diritti e le libertà fondamentali degli interessati: se all’esito del bilanciamento, adottando una serie di misure e garanzie per gli interessati e considerando le loro ragionevoli aspettative, si può ritenere che il legittimo interesse prevalga sui loro diritti e libertà, sarà possibile trattare i dati personali senza ricorrere al consenso degli interessati. Ciò significa che il titolare deve informare gli interessati del trattamento che viene effettuato e del legittimo interesse che viene perseguito; tuttavia non sarà necessario raccogliere il loro consenso a tal fine, ma solo consentire loro di opporsi successivamente a questo trattamento (opt-out).
La normativa applicabile dal 2018, il Regolamento generale sulla protezione dei dati (Gdpr) non ha innovato la normativa precedente con riguardo alle possibili basi giuridiche per il trattamento dei dati personali. Di nuovo c’è però che mentre prima del Gdpr – almeno in Italia – il bilanciamento degli interessi poteva essere effettuato soltanto dal Garante per la protezione dei dati personali, oggi invece può essere effettuato direttamente dal titolare, purché sia naturalmente documentato per iscritto, in un’ottica di accountability.
Si tratta sicuramente di un’apertura del Gdpr, che ha aumentato l’autonomia dei titolari e ridotto drasticamente le situazioni in cui questi ultimi devono ricorrere a notifiche, autorizzazioni o consultazioni con il Garante. In quest’ottica, appare ovvio che molti operatori facciano ricorso a questa base giuridica nelle proprie informative per giustificare il trattamento di dati personali. Tuttavia, la pratica recente evidenzia un ricorso a questa base giuridica che in alcuni casi presenta profili di criticità.
I punti critici
Anzitutto, il ricorso al legittimo interesse richiede che il medesimo sia dichiarato non in via generica, come spesso avviene nella pratica (“trattiamo i tuoi dati personali per perseguire il nostro legittimo interesse” oppure “trattiamo i tuoi dati personali se abbiamo un legittimo interesse”), ma in maniera specifica: l’informativa deve dichiarare apertamente quali dati personali vengono trattati e per quale finalità (attuali e non potenziali), dunque per quale legittimo interesse vengono trattati (per esempio, “per le nostre finalità amministrative e contabili” oppure “per il nostro interesse legittimo a migliorare la qualità del nostro servizio” oppure “per il nostro interesse legittimo a perseguire finalità antifrode”).
In secondo luogo, non è sufficiente enunciare l’interesse legittimo nell’informativa, ma occorre effettuare il bilanciamento che abbiamo menzionato in precedenza. In altre parole, è necessario redigere un documento nel quale sia riportato un processo di bilanciamento: indicare quale è l’interesse perseguito e se il medesimo può qualificarsi come legittimo o meno; valutare se il trattamento è necessario per perseguire l’interesse in questione, o se la finalità è raggiungibile senza trattare dati personali o trattandone meno; effettuare un bilanciamento provvisorio tra l’interesse in questione e i diritti e le libertà degli interessati (tenendo in considerazione vari fattori, tra i quali le ragionevoli aspettative degli interessati); adottare misure ulteriori per ridurre l’impatto sugli interessati ed effettuare un bilanciamento finale. Pertanto, è molto importante documentare per iscritto questa procedura ed assicurare agli interessati la possibilità di esercitare i proprio diritti (ad esempio quello di opporsi al trattamento).
Inoltre, stiamo assistendo a un aumento di casi in cui il legittimo interesse viene utilizzato in relazione all’uso dei cookies. Sempre più spesso le impostazioni cookies sui siti, consultabili cliccando sui link alle “maggiori informazioni” visibili sui banner, elencano una serie di cookies per i quali – in alternativa – è possibile attivare il consenso o disattivare il legittimo interesse, e in alcuni casi addirittura fornire una sorta di consenso al legittimo interesse.
Le opinioni sul campo
La possibilità di fare riferimento al legittimo interesse nell’ambito del trattamento dei dati personali attraverso i cookies è però molto dubbia. Innanzitutto, va detto che a tale trattamento si applica la Direttiva ePrivacy, attuata in Italia – per quanto attiene ai cookies – dall’articolo 122 del Codice Privacy, che non è stato modificato dall’entrata in vigore del Gdpr. L’articolo 122 prevede che l’archiviazione di informazioni sul terminale dell’utente possa avvenire solo con il suo consenso ed essendone stato informato preventivamente. Inoltre, come chiarito dall’European Data Protection Board (Edpb) la Direttiva ePrivacy è una normativa speciale rispetto al Gdpr e dunque le specifiche previsioni in essa contenute prevalgono su quelle più generali del Gdpr. Non si comprende quindi come si possa ritenere questa normativa superata e fare ricorso ad una base giuridica diversa dal consenso per quanto riguarda l’utilizzo dei cookies.
È senz’altro vero che il Gdpr contiene il considerando 47 che recita “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”. Non sembra che questo possa intendersi riferito al marketing e alla profilazione attraverso i cookies, ma piuttosto a forme convenzionali di marketing e sostanzialmente all’ipotesi del soft opt-in previste dalla direttiva ePrivacy (invio di e-mail ad un indirizzo ottenuto nel contesto di una precedente vendita e per pubblicizzare prodotti simili a quelli già acquistati, propri del titolare, e consentendo sempre agevolmente l’opt-in).
Naturalmente ancora meno comprensibile sembra la soluzione di chiedere una qualche forma di “accettazione” dell’interesse legittimo quale base giuridica per il trattamento di questi dati, dal momento che questo si tramuterebbe di fatto in un consenso e dunque si tratterebbe di una operazione completamente inutile e confusoria.
Pur nel permanere di queste perplessità, va però segnalato il recente tentativo di apertura verso nuove basi giuridiche per il trattamento operato dalle istituzioni europee. Lo scorso febbraio il Consiglio dell’Unione Europea ha infatti pubblicato la nuova bozza del Regolamento ePrivacy, proponendo alcune modifiche destinate a innovare in maniera sostanziale le modalità di profilazione attraverso i cookies.
Con la modifica all’articolo 8, il Consiglio ha infatti introdotto la possibilità di ricorrere al legittimo interesse anche per l’utilizzo dei cookie e di altre tecnologie di tracciamento installabili direttamente sul terminale dell’utente. Tale trattamento deve essere accompagnato da una serie di cautele e garanzie ben specificate dal testo dell’articolo: preventiva valutazione d’impatto; informativa sul trattamento svolto e sul diritto di opporsi ad esso; previsione di misure tecniche ed organizzative di sicurezza, come la pseudonimizzazione e la cifratura; divieto di condividere le informazioni raccolte con altre parti al di fuori dei responsabili del trattamento.
La nuova bozza ha ricevuto reazioni contrastanti da parte degli Stati membri, che in alcuni casi hanno chiesto di ritornare alla precedente formulazione. Secondo altri, invece, la nuova proposta si allinea maggiormente con i principi e le finalità del Gdpr, ma vanno comunque previste delle pratiche che garantiscano la chiarezza e trasparenza delle operazioni, oltre ad un attento bilanciamento degli interessi in gioco.
L’Edpb aveva invece già espresso il proprio parere nel 2019 ribadendo l’importanza della raccolta del consenso per la maggior parte delle attività di marketing online, comprese telefonate commerciali, tracking online mediante cookies, app e altri software. Non è detto pertanto che questa modifica resti nella versione definitiva del testo del Regolamento ePrivacy.
Leggi anche
Potrebbe interessarti anche
