Legittimo interesse: quando si può usare questa base giuridica e quali requisiti rispettare

22 dicembre 2021Ultimo aggiornamento 29 ottobre 2024
  • Home
  • Blog
  • Normativa
  • Legittimo interesse: quando si può usare questa base giuridica e quali requisiti rispettare
Tempo di lettura stimato: 7'
Complice il ricorso molto frequente e a volte, se vogliamo, un po’ stiracchiato di questa base giuridica, torniamo a parlare di legittimo interesse. In un articolo precedente pubblicato su questo blog abbiamo visto cos’è il legittimo interesse.

Non l’hai ancora letto? 
Ti consiglio di dare un’occhiata e poi di tornare qui.
Fatto? Bene. 

Ci eravamo lasciati con alcune domande: quando possiamo usare il legittimo interesse e quali criteri bisogna rispettare perché possa essere considerato valido?

La risposta a questi interrogativi la vediamo proprio qui, in questo articolo tratto dalla mia intervista live al Presidente dell’Istituto Italiano per la Privacy e Founding Partner ICTLC: l’Avvocato Luca Bolognini. 


Ti ricordo che è solo un estratto, il LIVE completo lo trovi come sempre su Raise Academy, l’Accademia formazione efficace di PrivacyLab, 


Quando si può usare il legittimo interesse e quando no?

Andrea Chiozzi: Abbiamo visto che il legittimo interesse è una delle possibili basi giuridiche – compreso il consenso - che un titolare può decidere di usare, quando tratta dei dati personali. Cominciamo a mettere un po' di ingredienti e di pignatte sul fuoco. Come e quando si può usare? 

Avvocato Bolognini: In generale, il legittimo interesse è un tipo di base giuridica che si riferisce alla disciplina generale in materia di protezione di dati personali. È una cosa molto importante, che in tanti più o meno dolosamente o inconsapevolmente hanno omesso di considerare in questi mesi. Pensiamo a certe informative cookies, che sono apparse in questi anni… 

Quindi il legittimo interesse, chiariamolo una volta per tutte, è una base giuridica di disciplina generale in materia di protezione di dati personali. 

Non è - e sottolineo non è - una base giuridica riconosciuta da discipline speciali che implicano un certo tipo di trattamento di dati, come la disciplina E-privacy (quella di cui alla Direttiva 2002/58 e di cui, in futuro, il regolamento E-privacy, che verrà approvato quando verrà approvato). Quindi, lo ripete nelle ultime linee guida anche il Garante italiano, non si può basare sul legittimo interesse il tracciamento online, né l'attività di lettura e/o archiviazione di informazioni sul terminale degli utenti o dei contraenti. 

Ma come? - si potrebbe dire - è previsto nell'articolo 6 del GDPR! 

Perché non è utilizzabile? 
Non è utilizzabile, perché le basi giuridiche in materia di E-privacy seguono la disciplina speciale, che prevale, e ci sono meno opzioni per poter fare determinati tipi di trattamenti. Poi, aggiungiamo una nota: la disciplina E-privacy ha in particolare a che fare con la fase della raccolta del dato (il tracciamento, che è la fase della raccolta dei dati). 

Altro discorso potrebbe essere quello riferibile ai dati, una volta raccolti. 
Quindi, raccolti i dati, in ossequio alla disciplina E-privacy - verosimilmente, se voglio farne attività non strettamente tecniche, necessarie per il funzionamento richiesto dall'utente online - la base per la raccolta e il tracciamento dei dati sarà il consenso. 

Non è detto che per trattamenti ulteriori di quei dati, che sono stati raccolti su altra base di E-privacy, io non possa poi andare a scomodare un legittimo interesse. Può essere molto difficile e il termine "difficile" è usato non a caso, proprio in questa materia, nella guideline 2017-2018 sulla profilazione. Non dicono "impossibile", ma dicono “sarà ben difficile…”

Andrea Chiozzi: Sembra un po’ il pizzino che chiedeva “Sei sicuro? Sei veramente sicuro?... Io ti avverto, poi… 

Avvocato Bolognini: Titolare avvisato, mezzo salvato… 

Col legittimo interesse non serve il consenso. Ma è opponibile?

Andrea Chiozzi: Ti faccio una domanda a bruciapelo: il legittimo interesse è opponibile?

Avvocato Bolognini: Il legittimo interesse è una base giuridica abbastanza debole. Immaginiamolo come un lago ghiacciato, ma con uno strato di ghiaccio non troppo spesso e resistente. È una base giuridica che richiede molta cautela e prudenza nell'essere utilizzata, anche perché è facilmente opponibile.

Se prendiamo l'articolo 21 del GDPR, vediamo subito al paragrafo 1 che, quando un trattamento è basato sul legittimo interesse - in realtà ci sono anche interessi pubblici in questa casistica - può arrivare un esercizio di opposizione da parte dell'interessato. E non è un'opposizione imbattibile e ad nutum, come quella nei confronti della pubblicità diretta e del marketing diretto (se prendiamo il 21.2, c'è poco da fare, non si può resistere!). 

È un'opposizione, quella al legittimo interesse, che deve essere valutata, motivata e contro-motivata. Quindi un interessato può opporsi a un trattamento di dati basato sul legittimo interesse. 
 
Quello stesso paragrafo 1 dell'articolo 21 ci dice che il titolare del trattamento, se ritiene di avere motivi per resistere, può provare a resistere, motivando le ragioni che lo portano a insistere nel trattamento basato sul legittimo interesse. A quel punto è verosimile che possa iniziare un braccio di ferro che potrebbe avere anche delle conseguenze nel coinvolgimento per reclamo dell'Autorità garante per la protezione dei dati personali, chiamata a dirimere e valutare se quella "resistenza" sia più o meno giustificata.


È una base giuridica che si può usare, ma solo se sussistono determinate caratteristiche

Avvocato Bolognini: Abbiamo visto che è opponibile e abbiamo smarcato anche il dubbio sull’applicabilità al tracking online della base giuridica di legittimo interesse: che è un no, lo ripetiamo. Chiediamoci ora che cosa serva per riconoscerci un legittimo interesse e reggere di fronte a un controllo o a una contestazione, un reclamo.

Il legittimo interesse deve avere alcune caratteristiche

Innanzitutto, deve essere - e qui sarò un po' tautologico - deve essere legittimo.  


1 – Deve essere “legittimo”

Avvocato Bolognini: Deve avere un titolare del trattamento, o anche un terzo, perché un titolare del trattamento può perseguire un legittimo interesse che appartiene a un soggetto terzo. Ma perché il legittimo interesse possa sussistere, non può naturalmente essere illecito. Non può andare contra legem. Di per sé non può violare l’ordinamento che deve essere rispettato a livello dell’Unione Europea e livello del singolo Stato membro. 


2 – Deve essere concreto e attuale

Avvocato Bolognini: Poi deve essere concreto, attuale al momento in cui si vuole effettivamente basare un trattamento su di esso. Quindi, verosimilmente, anche nel momento in cui viene data l'informativa agli interessati, in ossequio al principio di trasparenza, dobbiamo riferirci a un legittimo interesse che sia attualmente sussistente.

Non possiamo riferirci a varie ed eventuali speculative future. 

Potrei avvalermi di legittimi interessi di cui ora non mi avvedo, ma un giorno sento che arriveranno… 

No, non funziona così. 
Il legittimo interesse deve essere concreto e attuale al momento del trattamento e quindi presumibilmente anche al momento dell’informativa che deve darne trasparentemente conto. 


3 – Deve essere legato al trattamento di dati personali (“stretta necessità”)

Avvocato Bolognini: Il legittimo interesse deve legarsi al trattamento che vuole sorreggere: il trattamento di dati personali che, legandosi al legittimo interesse, dovrebbe essere appunto legittimato. 

Questo trattamento di dati personali deve – non può, deve – essere necessario per perseguire il legittimo interesse. È molto importante, perché ci possono essere altri modi, altre vie, altri trattamenti di dati personali – o non trattamenti, addirittura – che mi portano a raggiungere lo stesso risultato che corrisponde al mio legittimo interesse.

Andrea Chiozzi: Concordo. Se ci sono altri modi e si potrebbe fare in altro modo, magari, dico io, guardaci, prima di usare proprio il legittimo interesse…

Avvocato Bolognini: Ci sono casi in cui si può minimizzare, anzi, se si può, si deve! Se un trattamento di dati può essere minimizzato, è lì che vado a individuare il mini-margine di manovra per il legittimo interesse. Tutto ciò che è di più, tutto ciò che non è strettamente necessario, non può essere legittimato, in virtù del legittimo interesse. 

Quindi “stretta necessità”. Questa è un’altra caratteristica importante del legittimo interesse, del titolare o di un terzo. 

È tutto qui? No! Va fatta una valutazione di bilanciamento

Avvocato Bolognini: Abbiamo individuato un legittimo interesse "legittimo". Abbiamo individuato un trattamento veramente strettamente necessario per raggiungere la nostra meta. Sembrerebbe tutto a posto…

Attenzione, non è finita qui!
Vanno rispettati ulteriori criteri.

Il legittimo interesse regge se non comprime in maniera ingiustificata gli interessi, le libertà e i diritti degli interessati.

Come faccio a capirlo?

Faccio un Legitimate Interest Assessment o balancing, come indicato dai Garanti europei nel parere del 2014. Questa valutazione di bilanciamento e di sussistenza del legittimo interesse deve essere svolta proprio soppesando gli interessi in gioco e i diritti e le libertà in gioco.

Sarà un'analisi soprattutto giuridica. Quindi, se vogliamo, umanistica.

La valutazione non può farla un tool

Avvocato Bolognini: Questo tipo di ragionamento non ce lo fa un tool, o meglio, ci sono tool che possono servire a tenere la documentazione e ad aiutare a fare dei calcoli. Ma lì entra in gioco l'intelligenza umana. 

Andrea Chiozzi: È fondamentale! Tu sai che PrivacyLab è un sistema di tools. Non abbiamo mai fatto uscire un tool sul legittimo interesse. Proprio perché ritengo che la valutazione che deve essere fatta, non può essere fatta da un sistema matematico.

Perché diventa una valutazione difficilmente applicabile. Mi sono sempre rifiutato di farlo. Cosa mi costava arruffare qualcosa con due calcoli in croce e dire: ecco, fai la verifica per capire se puoi usare il legittimo interesse e se tutto è ok procedi.

Non è così secondo me. È una delle cose in cui i sistemi devono tenere conto dell'evidenza e del percorso che tu hai fatto, per far capire che sei arrivato a un legittimo interesse. Fare un calcolo in questo caso diventa non solo rischioso, ma svilisce il concetto del legittimo interesse.
 
Avvocato Bolognini: Il tool ti serve per darti un ordine e per aiutarti a documentare, indicarti il percorso e accompagnarti nel percorso. Ma è un po’ come dire: faccio fare il parere legale, invece che all’avvocato, al software…

Questo era solo un assaggio!

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione. 

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati (IIP).
European data & privacy lawyer, avvocato dei dati e saggista.
Laureato in Giurisprudenza all’Alma Mater Studiorum Università di Bologna.

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy