Recentemente abbiamo parlato del caso della pubblicità personalizzata su Tik Tok: il social cinese aveva comunicato la volontà di inviare pubblicità personalizzata agli utenti anche senza consenso. La base giuridica? Il legittimo interesse come formulato nel GDPR. Il Garante italiano è dovuto intervenire, avviando un istruttoria sul sistema di invio di contenuti pubblicitari "giustificati" dal legittimo interesse e dichiarando incompatibile con la direttiva ePrivacy il trattamento preannunciato dalla corporation.

Per saperne di più > Il Garante privacy contro Tik Tok: illecito l’invio di pubblicità personalizzata senza consenso

Il GDPR e le basi giuridiche per il trattamento dati

Nel confronto sul tema con alcuni clienti ci siamo resi conto che il concetto di legittimo interesse, nel caso sopra volutamente un pò "tirato per la giacchetta" da Tik Tok, non è comunque chiaro a molti ed è causa di incertezze e dubbi.

Partiamo dalle basi: per trattare dati personali, un titolare del trattamento deve sempre valutarne la liceità. Perché un trattamento sia lecito deve fare riferimento ad una delle basi giuridiche previste (principalmente) dall'art 6. del GDPR. Il consenso è la base giuridica "standard", ma il GDPR prevede anche il perseguimento del legittimo interesse del titolare del trattamento. Un titolare può trattare dati perseguendo un proprio interesse legittimo purchè non prevalgano interessi, diritti e le libertò fondamentali degli interessati.

Per approfondire > Garante per la protezione dei dati personali: Fondamenti di liceita' del trattamento

Legittimo interesse: in concreto?

Concretamente quindi occorre che il titolare del trattamento abbia un legittimo interesse nel trattare i dati degli interessati e che siano stati bilanciati i diritti del titolare e quelli degli interessati. In questo caso il trattamento è legittimo anche senza esplicito consenso dell'interessato.

Casi concreti? Un titolare può trattare dati personali avendo il legittimo interesse come base giuridica del trattamento nei casi in cui, ad esempio, viderosorveglia la propria azienda per evitare furti o per meglio gestire la sicurezza nel luogo di lavoro. Ma è interesse legittimo del titolare trattare i dati dei clienti per marketing diretto avendo in corso o avendo avuto una relazione coi clienti stessi oppure per la sicurezza dei dati nei sistemi informatici aziendali ecc…

Resta in capo al titolare del trattamento informare l'interessato che i suoi dati saranno trattati sulla base del legittimo interesse.

Doveri del titolare del trattamento e principio di accountability

Prima dell'avvento del GDPR, la liceità di un trattamento per legittimo interesse passava dal via libera del Garante. Il titolare del trattamento doveva presentare istanza al Garante richiedendo il riconoscimento del legittimo interesse. In alternativa, doveva essere riconosciuto tramite una norma che tipizzasse casi di legittimo interesse. Ora è invece in capo al titolare del trattamento:

• valutare se i diritti dell'interessato prevalgano sul proprio interesse legittimo;
• verificare di aver preso in considerazione tutti i rischi per i dati trattati e poter dimostrare di aver correttamente bilanciato interesse e diritti / libertà.

Ciò discende dal principio di Accountability, il principio di responsabilizzazione. Il GDPR prevede che il titotale del trattamento debba essere responsabile, debba trattare i dati personali con la consapevoelzza che non sono di sua proprietà ma una concessione degli interessati e deve farlo con la massima responsabilità e professionalità.

Caratteristiche del legittimo interesse

Il legittimo interesse è comunque una base giuridica che sussiste solo in determinati contesti:

• è concreto e attuale
  ovvero sussistere attualmente, al momento in cui viene inviata l'informativa agli interessati;
• è strettamente legato al trattamento
  ovvero il trattamento di dati personali che si vuole "giustificare" deve essere necessario per perseguire il legittimo interesse. Infatti, qualora esistano possibilità alternative di perseguire il legittimo interesse senza passare dal trattamento dati personali, quelle dovranno essere preferite al trattamento stesso;
• deve rispettare il principio di minimizzazione
  il legittimo interesse non giustifica a trattare nulla in più di quanto non sia necessario a perseguire il legittimo interesse. Il principio di minimizzazione è un criterio valido per qualsiasi trattamento e nessuna interpretazione più o meno "ampia" del legittimo interesse legittima un trattamento non minimizzato;
• non giustifica il tracciamento online nè l'archiviazione / lettura di dati sul dispositivo usato dagli utenti
  e questo punto è importante da ribadire perché c'è un fioccare di informative privacy sui siti web che fanno riferimento al legittimo interesse per tracciare gli utenti. Fare riferimento al legittimo interesse per trattare dati personali tramite cookie cozza contro la direttiva ePrivacy. Direttiva che specifica chiaramente come non sia possibile archiviare / leggere informazioni sul terminale dell'utente senza il suo consenso. L'EDPB sul punto ha anche chiarito che la direttiva ePrivacy è una normativa speciale rispetto al GDPR, quindi le sue previsioni specifiche prevalgono su quelle generali del GDPR.

Legittimo interesse: se non sai come fare…

contattaci, i nostri esperti consulenti potranno assisterti e guidarti nel caso concreto.