Scambio dati infragruppo senza consenso degli interessati. Nelle comunicazioni di informazioni personali tra società appartenenti a uno stesso gruppo si può applicare una regola, alternativa al consenso, prevista dall'articolo 6, lett. f), del Regolamento UE sulla privacy n. 2016/679 (Gdpr) denominata legittimo interesse

È quanto afferma l'Edpb (European Data Protection Board), ovvero l'organo che riunisce i garanti UE della privacy, il quale ha elaborato apposite Linee Guida (n.1/2024 dell'8 ottobre 2024), intitolate proprio al trattamento dei dati basato sul legittimo interesse (alternativo al consenso).

Il documento interpretativo, ormai in vista della approvazione definitiva, è molto atteso, soprattutto dalle imprese, che possono trarre benefici dalla possibilità di avvalersi del “legittimo interesse”: si pensi, infatti, ai costi organizzativi e finanziari di un sistema di gestione dei consensi di ciascun cliente. Anzi, proprio per tale ragione, il legittimo interesse talvolta viene strumentalizzato e invocato pretestuosamente per cercare di giustificarsi di fronte a ispezioni dei garanti, che contestano agli operatori economici di non avere raccolto il consenso degli interessati.

Il legittimo interesse ammonisce l'Edpb, non è, però, un salvagente e non deve neppure essere considerato una porta aperta per far entrare tutte quei trattamenti che non si sa giustificare con altre basi giuridiche (a partire dal consenso).

Anzi, come emerge dalle Linee Guida, il legittimo interesse va applicato restrittivamente e, prima di avvalersene, bisogna valutare, caso per caso, se ne ricorrono i presupposti e bisogna scrivere un atto di bilanciamento di interesse, articolato in tre passaggi: 1) verifica della legittimità dell'interesse; 2) verifica della necessità del trattamento rispetto al conseguimento del legittimo interesse; 3) bilanciamento con i diritti e le libertà fondamentali delle persone i cui dati sono trattati senza consenso.

Gli operatori economici, quindi, se intendono basare i propri trattamenti sul legittimo interesse devono avere ben presente che le parole non bastano e devono assumersi la responsabilità di mettere nero su bianco le motivazioni e le valutazioni effettuate. Tra l'altro, tutto ciò è, a posteriori, soggetto a controlli e sanzioni del Garante.

Bisogna, infatti, fare molta attenzione: se un'impresa scrive nell'informativa privacy ai clienti che tratta i dati degli stessi sulla base del legittimo interesse (senza consenso) e, poi, non ha un documento di bilanciamento di interessi, allora quell'impresa è nei guai.

Proprio per questo (e, quindi, soprattutto evitare ammende e punizioni) possono tornare utili gli esempi che sono riportati dalle citate Linee Guida, i cui capitoli possono anche essere usati come capitoli del documento di bilanciamento di interesse da redigere ed esibire in caso di ispezioni. Ogni capitolo delle Linee Guida, infatti, contiene parametri e domande di controllo, da inserire e sviluppare nella documentazione aziendale. Tanto meglio se, poi, il profilo che interessa è uno tra quelli espressamente risolti dagli esempi delle Linee Guida.

Dati infragruppo - Un caso risolto dall'Edpb interessa i gruppi societari ed è descritto dalle Linee guida nei seguenti termini: per migliorare i servizi all'interno del proprio gruppo societario, le sedi centrali di tale gruppo decidono di effettuare statistiche su quanto tempo i clienti delle loro filiali rimangono effettivamente clienti, se hanno presentato reclami nei confronti di una filiale durante questo periodo, ecc. L'iniziativa è tesa a consentire al gruppo di valutare se è necessario apportare modifiche organizzative per fidelizzare meglio i clienti in futuro. A tal fine, alcune informazioni sui clienti vengono condivise dalle filiali con la sede centrale del gruppo. Poiché tale trattamento da parte della sede della società non è direttamente collegato al rapporto contrattuale con i clienti, concludono le Linee Guida, tale trattamento dei dati personali può essere basato sul legittimo interesse.

Rilancio editoriale - L'Edpb descrive l'esempio di un giornale, che prevede di creare una banca dati composta da ex abbonati, i quali non hanno rinnovato l'abbonamento. La banca dati serve poter recuperare i contatti degli ex abbonati in caso di lancio di una nuova rivista. Si ipotizza anche che al momento della creazione del database, il giornale non abbia, però, elaborato un piano concreto per sviluppare e lanciare una nuova rivista. Allora, rilevano le Linee Guida, l'interesse perseguito dal titolare attraverso il popolamento della sua banca dati non può essere considerato reale e attuale, in quanto il lancio di una nuova rivista è solo ipotetico. Pertanto, in questa fase, l'interesse perseguito dal titolare del trattamento non può essere considerato legittimo.

Interesse di terzi - Stavolta l'esempio descrive il passeggero di un taxi, il quale, scendendo dalla vettura, urta una persona che sopraggiunge con un monopattino. Quest'ultima intende avviare un'azione per risarcimento dei danni e chiede alla compagnia di taxi di fornire informazioni sull'identità del passeggero.

La compagnia di taxi è il titolare del trattamento, mentre il passeggero è l'interessato. Il proprietario del monopattino è una terza parte e ha un legittimo interesse ad ottenere l'identità della persona, che ha causato il danno per poter richiedere un risarcimento. In tale contesto, la comunicazione dei dati può, secondo l'Edpb, essere considerata come effettuata per perseguire i legittimi interessi di un terzo. Il legittimo interesse è, pertanto, una valida base giuridica per la condivisione dei dati personali del passeggero del taxi per perseguire gli interessi legittimi del proprietario del monopattino.

Social network - Si fa il caso di un social network online, finanziato attraverso la pubblicità online, che viene personalizzata sui singoli utenti del social network in base, tra l'altro, alle loro abitudini di consumo, ai loro interessi, al loro potere d'acquisto e alla loro situazione personale. Gli annunci pubblicitari vengono inviati in maniera mirata e selezionata utilizzando profili dettagliati degli utenti. Per elaborare i profili, oltre ai dati forniti direttamente dagli utenti al momento dell'iscrizione al servizio online, vengono raccolti all'interno e all'esterno del social network anche altri dati relativi all'utente, al dispositivo e quelli collegati all'account utente. La visione aggregata dei dati consente di trarre conclusioni dettagliate sulle preferenze e gli interessi di tali utenti. Nonostante il fatto che i servizi del social network online siano gratuiti, l'utente del social non può ragionevolmente aspettarsi che il gestore del social network tratterà i dati personali, senza il suo consenso, ai fini della pubblicità personalizzata. Inoltre, gli utenti del social network online non possono ragionevolmente aspettarsi che tali dati siano trattati anche per altre finalità come il miglioramento del prodotto. Non c'è spazio, dunque, per trattare i dati sulla base del legittimo interesse.

Visi su volantini - Nelle linee guida si illustra il caso di un'azienda, che stampa volantini di marketing utilizzando immagini di volti di persone disponibili pubblicamente su Internet e sulle piattaforme dei social media. Le persone, che appaiono nelle foto, sono quelle che le hanno pubblicate. In questo caso, afferma l'Edpb, anche quando le foto sono state rese pubbliche dagli stessi interessati, questi ultimi non potevano ragionevolmente aspettarsi che le loro foto sarebbero state elaborate e pubblicate da un terzo. Anche in questo caso il trattamento dei dati non può essere giustificato dal legittimo interesse.

Marketing - Le Linee guida colgono l'occasione per ricordare che l'invio di comunicazioni non richieste a fini di marketing diretto tramite e-mail, SMS, MMS e altri tipi di applicazioni simili può avvenire solo con il previo consenso del singolo destinatario. Pertanto, in questo contesto, il trattamento per finalità di marketing diretto non può essere basato sul legittimo interesse. Con un'eccezione: quando i dati di contatto elettronici sono forniti da propri clienti nel contesto della vendita di un prodotto o di un servizio, questi dati possono essere utilizzati dal venditore per il marketing diretto dei propri prodotti o servizi simili, a condizione che i clienti possano sempre opporsi, in modo semplice e gratuito, e siano stati informati di tale possibilità nel momento iniziale, in cui i dati sono stati raccolti, e in occasione di ogni messaggio.

Vigilanza di quartiere - Viene ipotizzato il caso di un'organizzazione di "vigilanza di quartiere", la quale ha deciso che, per il bene superiore della società, desidera installare un sistema di videosorveglianza in una determinata zona per monitorare eventuali attività criminali nell'area. Se la protezione della proprietà, della salute e della vita può, in alcune circostanze, essere qualificata come un interesse legittimo, sottolinea l'Edpb, l'interesse espresso dal titolare del trattamento (l'organizzazione di vigilanza) con riferimento al trattamento specifico è molto vago, in quanto è formulato in termini generali e non si riferisce a questioni specifiche di sicurezza. Pertanto, la conclusione è che l'interesse non è sufficientemente illustrato e definito per poterne valutarne la legittimità e, dunque, non c'è spazio per il legittimo interesse.

Fonte: Italia Oggi - di Antonio Ciccia Messina

Altri articoli

Scopri altre novità sulla protezione dati e GDPR.

Figli, “La sua privacy vale più di un like”: il nuovo spot del Garante privacy

La campagna di comunicazione è rivolta ai genitori che pubblicano online le foto dei propri figli

Corte di Giustizia UE: sia il Garante Privacy che il giudice devono disapplicare il CCNL se in violazione del Gdpr

Anche il contratto collettivo di lavoro è una fonte della disciplina della privacy e deve garantire anche la trasparenza del trattamento e sul trasferimento dei dati personali

Artificial Intelligence Act: dal 2 febbraio scatta lo stop per i sistemi vietati

Dal 2 febbraio 2025 saranno espressamente vietati i sistemi di AI che comportano rischi per la salute, la siurezza e i diritti fondamentali delle persone