Che cosa è e quando si può utilizzare il legittimo interesse nelle informative privacy?
Tutto il mondo che ruota intorno al GDPR e alla tutela della privacy dei dati dei naviganti dell’internet è molto sfaccettato (e chi mi segue anche su Instagram lo sa); alcune opzioni ci appaiono fumose e, cosa ben più grave, in modo fumoso vengono applicate dai titolari dei trattamenti.
Oggi facciamo un po’ di luce sul legittimo interesse del titolare del trattamento dei dati: di che cosa si tratta?
Quando possiamo avvalercene nelle nostre informative privacy e come? E sopratutto, quando invece… proprio non c’azzecca niente?
Sono Valentina Fiorenza,
avvocata esperta di diritto digitale, di GDPR e… di “quelle cose scritte in piccolo”.
Che cosa è il legittimo interesse in merito al trattamento dei dati?
Il legittimo interesse è una base giuridica relativa al trattamento dati in base alla quale il titolare del trattamento può ritenere opportuno, a seguito di ponderata valutazione, trattare i dati personali degli utenti senza ricorrere all’esplicito consenso degli interessati.
Facciamo un passo indietro sulle basi giuridiche del trattamento e spieghiamo brevissimamente cosa sono.
Affinché un titolare possa trattare dei dati è necessario che abbia una ragione per farlo.
Tra quelle che ci piacciono di più ci sono certamente l’obbligo di legge (pensiamo al caso della conservazione dei dati che si trovano nelle fatture che emettiamo) o l’esecuzione di un contratto (devo necessariamente trattare i dati di spedizione del cliente per potergli inviare l’oggetto che ha acquistato).
Confesso che quello che ci piace meno (perchè è il più scivoloso e va maneggiato con molta cura) è proprio il legittimo interesse.
Ma, appunto, quando possiamo dire che stiamo usando come base giuridica il legittimo interesse? L’esempio tipico è proprio quello della videosorveglianza.
Immaginiamo il caso in cui il titolare del trattamento (che, nel nostro esempio, è anche il titolare dell’azienda) posiziona alcune telecamere nei pressi degli ingressi aziendali. Per trattare i dati di tutti i dipendenti che passano davanti, in ogni momento, a quelle telecamere, non potremmo certamente utilizzare come base giuridica il consenso perchè esisterebbe una sproporzione tra le parti ed esso, ai sensi del GDPR, non sarebbe libero. Altre basi giuridiche sarebbero altrettanto improponibili, eppure, questo poveretto i dati li deve trattare a tutela del proprio patrimonio aziendale. Quindi, che fa? In assenza di un’altra base giuridica, fatta un’attenda valutazione di impatto e un imparziale bilanciamento degli interessi, usa il legittimo interesse.
Come deve essere comunicato il legittimo interesse nell’informativa privacy
Fin qui, la cosa può risultare chiara e legittima, se non fosse per il fatto che, da quando l’applicazione del legittimo interesse nelle informative sul trattamento dati non necessita più di una richiesta formale al Garante della Privacy, ma può essere stabilita dal titolare del trattamento, molto spesso ne si abusa inopportunamente.
Per cui ci troviamo spesso davanti a siti web con informative privacy che recitano frasi come “trattiamo i tuoi dati sulla base al legittimo interesse” o ancora “abbiamo il legittimo interesse a trattare i dati dei nostri utenti” senza altre specifiche motivazioni e questo è il primo di una serie di errori comuni.
Un altro atteggiamento “controverso” riguarda quei siti web che applicano la base del legittimo interesse anche nell’informativa Cookie.
Il legittimo interesse non va trattato con leggerezza; si tratta, di fatto, di una ponderata valutazione tra diritto e necessità del titolare del trattamento e diritti di chi naviga.
Giacché, ripassiamo le sanzioni in cui rischiamo di incorrere
quando i documenti e le informative sul nostro sito non sono in regola.
La dichiarazione del legittimo interesse deve essere accompagnata da chiara motivazione
Se nell’informativa sul trattamento dei dati del nostro sito ricorriamo al legittimo interesse, siamo tenuti a dichiararlo non in forma generica ma circostanziata, specificando in nome di quale interesse è per noi necessario raccogliere i dati senza esplicito consento (ma pur sempre consentendo agli utenti di opporsi al trattamento in modalità opt-out, cioè successivamente, attraverso specifica comunicazione).
Ad esempio, dobbiamo specificare che “è nostro legittimo interesse raccogliere dati per finalità contabili; per il nostro interesse legittimo a perseguire finalità antifrode; per garantire la sicurezza dei nostri sistemi informatici;” In sostanza, si tratta di azioni indefettibili e che non hanno altra motivazione per essere effettuate.
Tale dichiarazione deve seguire ad una vera valutazione di impatto e bilanciamento degli interessi, cioè si è tenuti, come titolari di azienda e di trattamento dati, a valutare se l’interesse a trattare dati senza il consenso sia realmente legittimo.
Dunque, dopo aver dato nel documento questa informazione, deve essere altresì espresso in modo chiaro come è possibile, a posteriori, opporsi al trattamento; in alcuni casi, l’azienda può persino opporsi all’opposizione al trattamento.
Se sono ad esempio, un ente assicurativo e ho il legittimo interesse a raccogliere dati sullo stato di salute del mio assicurato, nel momento in cui questi, attraverso specifica richiesta, chiede di non dare questo dato, è legittimo interesse dell’ente assicurativo respingere tale opposizione.
Capirete come, dunque, la gestione e applicazione del legittimo interesse non può essere effettuata con leggerezza, ad esempio per poter inviare una newsletter sui nostri prodotti di cosmesi autoprodotti perché riteniamo nostro legittimo interesse farli conoscere a chiunque.
E non è neanche nostro legittimo interesse raccogliere i dati analitici per i nostri legittimi fini di monitoraggio del nostro traffico.
Cosa NON è il legittimo interesse
Il legittimo interesse invece NON è un metodo per raccogliere coattamente dei dati senza consenso.
Lo dico perché ne vedo di banner sull’uso e consenso dei cookie che, oltre a tenere troppo nascosta l’opzione rifiuto dei cookie non necessari, hanno anche l’angolino con la voce “interesse legittimo”, con le opzioni cookie tutte selezionate.
Attenzione perché questo è tracciamento illegittimo travestito da interesse legittimo, e dimostra una certa malafede da parte del titolare del trattamento (salvo che questi possa dimostrare, a richiesta dell’Autorità di controllo, l’effettiva esecuzione della valutazione d’impatto e il bilanciamento degli interessi); non una bella prova di etica aziendale.