Liceità di trattamento e legittimo interesse
Il Regolamento Europeo sulla Protezione dei dati personali elenca all’articolo 6 le condizioni che devono essere presenti per poter definire “legittimo” un trattamento di dati personali
Il consenso dell’interessato è, forse, la più ovvia delle condizioni di liceità.
Il consenso è l’atto con il quale un individuo permette a un’entità terza – può trattarsi di una persona fisica o di una persona giuridica – di trattare i propri dati personali per le finalità che l’entità stessa gli ha precedentemente comunicato in modo chiaro e trasparente: per essere considerato valido, il consenso deve essere raccolto nel rispetto di regole precise e stringenti.
Esistono poi una serie di trattamenti di dati personali che, per avere luogo, non hanno bisogno di alcun preventivo consenso: sono, con una sola eccezione che merita di essere esaminata più attentamente, trattamenti che avvengono per ragioni molto specifiche e circoscritte e che richiamiamo brevemente.
E’ lecito il trattamento di dati personali quando è necessario per eseguire obblighi connessi ad attività precontrattuali (per esempio l’invio di un preventivo) o a un contratto stipulato dall’interessato con l’entità che tratterà i suoi dati; è altrettanto lecito trattare i dati personali di un individuo se l’entità svolge le operazioni di trattamento per adempiere obblighi legali ai quali è soggetta o se è impegnata nell’esecuzione di un compito di interesse pubblico o se le operazioni di trattamento sono connesse all’esecuzione di pubblici poteri di cui l’entità stessa è investita; allo stesso modo, il trattamento è lecito quando le operazioni sui dati personali si rendono necessarie per salvaguardare gli interessi vitali dell’individuo o di altre persone fisiche.
In ciascuna delle condizioni sopra menzionate, i dati personali degli individui possono essere quindi trattati senza necessità del consenso preventivo da parte degli interessati.
L’ultima condizione di liceità stabilita del Regolamento è legata al perseguimento del legittimo interesse del Titolare del trattamento o di terzi, ed è proprio su questa condizione che è opportuno soffermarsi.
E’ sicuramente meno immediato comprendere in quali occasione un titolare del trattamento possa perseguire, conformemente alla legge, un interesse legittimo, proprio o di terzi: questa condizione è infatti determinabile e definibile come “legittima” solo dopo lo svolgimento di alcune verifiche che non hanno, per loro intrinseca natura, un carattere di oggettività assoluta.
Su quali basi, quindi, un entità potrà decidere di procedere a un trattamento per perseguire un interesse, proprio o di terzi, che ritiene legittimo?
E’ necessario procedere con ordine: siamo di fronte a uno dei casi in cui il Titolare deve esercitare fino in fondo il proprio senso di “responsabilizzazione”.
Vediamo quali sono gli aspetti che il Titolare deve obbligatoriamente considerare e sulla cui attenta analisi dovrà basare la propria valutazione.
LA NECESSITA’
Il Regolamento, nel definire questa condizione di liceità, stabilisce che le operazioni di trattamento devono essere “necessarie per il perseguimento del legittimo interesse del titolare del trattamento o di terzi”: questo vuol dire che l’interesse del Titolare o del terzo non potrebbe essere perseguito per altra via o con mezzi diversi dallo specifico trattamento che si intende effettuare.
Questa è la prima verifica da fare e la prima domanda che bisogna porsi: se fossero percorribili altre strade per raggiungere lo stesso risultato, l’opzione “legittimo interesse” non sarebbe applicabile.
INTERESSE EFFETTIVO E LEGITTIMO
L’interesse, del Titolare o di un terzo a cui sono stati trasmessi i dati, deve essere reale, dimostrabile e conforme alle regole vigenti.
Alcuni casi sono illustrati nei considerando che trattano il tema.
All’interno di un gruppo di imprese o tra imprese collegate, il trasferimento di dati di clienti o dipendenti a fini di amministrazione interna e il loro trattamento sono leciti (considerando 48) senza bisogno che clienti e dipendenti esprimano un esplicito consenso al trasferimento.
La circolazione dei dati all’interno di un gruppo di imprese può avvenire per perseguire un interesse legittimo del Titolare o di un terzo (ad esempio della capogruppo): è sufficiente immaginare una realtà in cui le operazioni di trattamento relative al rapporto di lavoro, all’amministrazione dei clienti o alla contabilità facciano capo a una funzione centralizzata che serve tutte le imprese del gruppo. Se la circolazione non fosse consentita, sarebbe necessario duplicare le funzioni di servizio interno con indubbio spreco di risorse.
Allo stesso modo, può essere considerato lecito il trattamento di dati personali effettuato per perseguire il legittimo interesse di “prevenzione delle frodi” (considerando 47) e di “sicurezza delle reti e delle informazioni” (considerando 49).
Il trattamento dei dati connessi a un pagamento elettronico, il trasferimento di dati finalizzato a rintracciare un debitore che si è reso irreperibile e ha smesso di corrispondere pagamenti dovuti per l’utilizzo di un bene acquistato o noleggiato possono essere considerati leciti se sono connessi alla finalità di legittimo interesse del titolare (cioè verificare che il pagamento vada a buon fine e sia concluso).
Garantire la sicurezza delle reti e dell’informazione può essere considerato lecito non solo in virtù del legittimo interesse dei Titolari – fornitori di reti e servizi di comunicazione elettronica e fornitori di servizi di sicurezza e di tecnologia informatica – ma anche di quello di terzi.
Il Regolamento riconosce infatti come sia necessario e opportuno tutelare “la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi anche da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT) o gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) …”.
LA VALUTAZIONE DEL TITOLARE
Nell’effettuare la valutazione, il Titolare deve confrontare la natura del proprio interesse e i possibili inconvenienti che potrebbero derivargli dal “mancato trattamento” con le possibili conseguenze che il trattamento che intende compiere potrebbe causare all’interessato.
Un legittimo interesse può sussistere quando esista una relazione “pertinente e appropriata” tra un individuo e il Titolare del trattamento, e cioè, ad esempio, quando l’interessato è un cliente o un dipendente del Titolare: in ogni caso, “l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine.”
Infatti, nel caso in cui “i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali”, gli interessi e i diritti fondamentali degli individui possono prevalere sugli interessi del titolare.
Il Titolare deve dunque ponderare attentamente le aspettative dell’interessato: qualora quest’ultimo, sulla base della relazione instaurata con il Titolare, non possa ragionevolmente attendersi un ulteriore trattamento dei propri dati, il trattamento non è lecito.
Il Regolamento propone alcuni esempi di “relazioni pertinenti e appropriate” nelle quali è possibile ipotizzare condizioni di legittimo interesse perseguito dal Titolare: è il caso dei trattamenti di dati personali effettuati da un datore di lavoro del quale l’interessato è dipendente.
Anche se la raccolta dei dati personali avviene per la gestione del rapporto di lavoro, la relazione tra dipendente e datore di lavoro, per sua natura, rende plausibile ipotizzare condizioni di legittimo interesse del Titolare “altre” rispetto alla finalità per la quale i dati sono stati raccolti. Il dipendente può perciò ragionevolmente aspettarsi che i propri dati personali siano trattati dal Titolare anche per perseguire specifici interessi relativi, ad esempio, alla tutela della salute e della sicurezza nei luoghi di lavoro.
Ovviamente, affinché sia possibile considerare lecito un trattamento, non è necessario che il legittimo interesse del Titolare o di un terzo debba essere in armonia con quello dell’interessato: nel caso in cui, però, la valutazione evidenzi un grave conflitto tra interessi contrapposti, il legittimo interesse dell’interessato dovrebbe avere la prevalenza.
Non si può quindi considerare il legittimo interesse come una “scappatoia” a cui ricorrere dopo aver constatato che nessuna delle altre condizioni di liceità sia confacente alla propria situazione specifica. L’esistenza di questa condizione deve essere appropriatamente motivata e la decisione è in capo al Titolare: l’Autorità Garante, intervenendo a seguito di segnalazioni, reclami o ispezioni, dopo aver valutato le analisi compiute dal Titolare e le sue motivazioni, potrebbe contestarne i criteri e le conclusioni, stabilirne l’infondatezza e, se del caso, comminare sanzioni.
IL MARKETING DIRETTO
Il Regolamento (considerando 47) stabilisce che può essere considerato legittimo trattare dati personali per finalità di marketing diretto.
Per sgombrare il campo da equivoci, precisiamo che non siamo nel caso in cui il marketing diretto è la finalità dichiarata del trattamento. In questa situazione, per poter effettuare un trattamento di dati personali, il Titolare deve:
dichiarare la finalità nell’informativa;
fornire l’informativa agli individui di cui intende collezionare i dati al momento della raccolta dei dati stessi;
ottenere il consenso del singolo individuo al trattamento delle proprie informazioni personali.
L’interesse legittimo ad effettuare un trattamento non deve essere confuso con la finalità del trattamento: in qualche modo, un interesse legittimo può scaturire logicamente dalla finalità ma non coincide con essa.
A scopo esemplificativo, ipotizziamo che un individuo acquisti un bene o servizio attraverso un sito web.
Il Titolare tratta i dati personali di quella persona per fini contrattuali e non ha quindi necessità di chiedere e di ottenere alcun consenso specifico per utilizzare le informazioni personali ricevute.
I dati raccolti “potrebbero” però essere utilizzati dal Titolare per inviare alla persona comunicazioni commerciali per perseguire un proprio legittimo interesse (marketing diretto). È un comportamento lecito?
Sulla base di quanto illustrato in precedenza, la risposta è affermativa se “l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine”: ad esempio, “quando l’interessato è un cliente” del Titolare.
Per continuare con l’esempio, il Titolare potrà quindi contattare l’interessato per comunicargli la disponibilità di nuovi prodotti della stessa tipologia acquistata senza avere il suo preventivo consenso e dovrà, in ogni caso, mettergli a disposizione una procedura per l’esercizio del diritto di opposizione.
Non sarà invece possibile per il Titolare ricorrere alla condizione di legittimo interesse per l’invio di comunicazioni commerciali non attinenti la relazione instaurata con l’interessato o combinare i dati personali con informazioni diverse e comunque nella sua disponibilità (comportamenti e preferenze di navigazione desunte dalla navigazione effettuata in rete dall’interessato) per profilarlo ed inviargli comunicazioni commerciali ulteriori, diverse o “su misura”.
IL RISPETTO DI TUTTE LE PRESCRIZIONI DEL REGOLAMENTO
E’ infine necessario è che il trattamento avvenga nel pieno rispetto della normativa: i dati personali devono essere accurati, aggiornati e non eccessivi, trattati con le adeguate garanzie in caso di trasferimento a terzi e difesi con adeguate misure di protezione atte a limitare i possibili effetti del trattamento sugli interessati (utilizzo di strumenti e tecnologie che abbiano incorporato la privacy by default o by design) e a evitare violazioni; il Titolare deve inoltre informare l’interessato dei legittimi interessi perseguiti e della possibilità di esercitare in qualunque momento il diritto di opposizione.