Dal parere 6/2014 alle Linee guida 1/2024: quali novità?

A esattamente dieci di distanza dall’ultimo parere del Gruppo di lavoro “Articolo 29” (WP29) sul concetto di legittimo interesse ai sensi della Direttiva 95/46/EC, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato le nuove Linee guida 01/2024 ai sensi del GDPR.

Le Linee guida, in consultazione pubblica fino al 20 novembre, mirano ad aggiornare le indicazioni fornite dal WP29, in considerazione:

1. del rinnovato framework normativo e giurisprudenziale, comprese le molteplici decisioni della Corte di Giustizia dell’Unione Europea dal 2014 ad oggi;
2. della evidente necessità di fornire chiarimenti in settori specifici, quali la prevenzione delle frodi, il marketing diretto e la sicurezza delle informazioni;
3. del consolidamento dei sistemi di intelligenza artificiale e di mezzi tecnologici avanzati, da cui sovente derivano trattamenti su larga scala o particolarmente invasivi, in quanto relativi a dati particolari o a soggetti vulnerabili o minori.

Prima di entrare nel merito di alcuni trattamenti specifici, fra cui l’attività di marketing, riassumiamo a seguire i principali chiarimenti forniti dal Comitato attraverso le Linee guida, essenziali per comprendere quando e come il legittimo interesse può costituire un valido fondamento di liceità dei trattamenti svolti.

Quando si può ricorrere al legittimo interesse?

Come sappiamo, il legittimo interesse costituisce una delle sei basi giuridiche previste dall’articolo 6, par. 1, del GDPR. Le basi giuridiche riportate all’articolo 6 costituiscono il fondamento in grado di garantire la liceità dei trattamenti svolti e, quindi, il rispetto del principio di liceità (di cui all’articolo 5, par. 1, del GDPR).

Prima determinare a quale specifica base giuridica fare affidamento, ogni organizzazione è tenuta ad effettuare una accurata valutazione del trattamento pianificato. Proprio in questa fase, il sovente ricorso generalizzato all’articolo 6, par. 1, lettera f), del GDPR, ha costretto l’EDPB a chiarire sin da subito che l’interesse legittimo non deve essere considerato né come la base giuridica da scegliere “di default”, né come l’opzione di “ultima istanza” da applicare solo in situazioni rare e impreviste o qualora nessuna altra base giuridica trovi applicazione. Tutte le basi giuridiche previste dal Regolamento, compreso l’interesse legittimo, infatti, vanno interpretate in modo restrittivo.

Come applicare l’interesse legittimo?

Fatta questa premessa, le Linee guida proseguono individuando le tre condizioni cumulative che devono essere soddisfatte affinché si possa ricorrere alla base giuridica del legittimo interesse:

1. in primo luogo è necessario verificare che venga effettivamente perseguito un interesse legittimo da parte del titolare del trattamento o di un terzo. Non tutti gli interessi perseguiti, infatti, possono essere considerati legittimi. Sebbene nel Regolamento non esista né una definizione di interesse qualificabile come legittimo, né un elenco esaustivo di situazioni concrete, la giurisprudenza ci viene in aiuto attraverso l’individuazione di alcune casistiche, fra cui: l’avere accesso a informazioni online, garantire il funzionamento continuo di siti web pubblicamente accessibili, ottenere informazioni personali di una persona che ha danneggiato la proprietà di qualcuno per poter citare in giudizio quella persona per danni, proteggere la proprietà, la salute e la vita dei co-proprietari di un edificio, il miglioramento del prodotto e la valutazione della solvibilità delle persone, etc.

Secondo l’EDPB, inoltre, per essere considerato legittimo un trattamento deve essere lecito, chiaramente e precisamente identificato, reale (ovvero presente al momento del trattamento dei dati e non ipotetico o speculativo). Un interesse legittimo potrebbe sussistere laddove vi sia già una relazione pertinente e appropriata tra il soggetto interessato e il titolare del trattamento, come quando il soggetto interessato è già cliente (v. considerando 47 al GDPR).

2. in secondo luogo, il trattamento dei dati personali deve essere effettivamente “necessario” per perseguire l’interesse o gli interessi legittimi. Ciò significa accertarsi che tali interessi non possano essere ragionevolmente raggiunti con mezzi altrettanto efficaci ma meno restrittivi dei diritti e delle libertà fondamentali dei soggetti interessati.
3. infine, gli interessi o le libertà fondamentali e i diritti degli interessati non devono prevalere sui legittimi interessi del titolare del trattamento o di terzi. Questa fase richiede, quindi, quello che l’EDPB definisce un “test di bilanciamento” o “esercizio di bilanciamento”.

Il bilanciamento degli interessi contrapposti

Il test di bilanciamento, anche chiamato Legitimate Interest Assessment o LIA, mira quindi a valutare e confrontare i diritti e gli interessi contrapposti delle parti e dipende dalle circostanze specifiche del caso particolare. Oltre ad essere formalizzato per iscritto, è essenziale, quindi, che venga condotto prima che il trattamento sia posto in essere, con il coinvolgimento attivo del Responsabile della Protezione dei Dati (DPO) (se designato).

All’interno delle Linee guida, l’EDPB descrive nel dettaglio tutti gli elementi da esaminare nella fase di bilanciamento:

• gli interessi, i diritti e le libertà fondamentali degli interessati;
• l’impatto del trattamento sugli interessati, considerando la natura dei dati da trattare, il contesto del trattamento ed eventuali ulteriori conseguenze del trattamento;
• le ragionevoli aspettative dell’interessato, che non dipendono necessariamente dalle informazioni fornite dal titolare del trattamento ai soggetti interessati;
• il bilanciamento finale dei diritti e degli interessi contrapposti, compresa la possibilità di ulteriori misure di mitigazione.

È importante ricordare che lo scopo finale del LIA non è quello di evitare qualsiasi impatto sugli interessi e sui diritti dei soggetti interessati nel complesso. L’obiettivo da raggiungere, piuttosto, consiste nel giungere ad un giusto equilibrio fra i diritti, le libertà e gli interessi coinvolti, anche attraverso l’eventuale introduzione di adeguate misure di mitigazione.

Un sistema integrato per la cybersecurity

Come abbiamo visto, il fatto che il considerando 47 del GDPR affermi che il trattamento dei dati personali per scopi di marketing diretto possa essere effettuato per soddisfare un interesse legittimo, non significa che il marketing diretto costituisca sempre un interesse legittimo del titolare del trattamento e che si possa fare automaticamente affidamento sulla base giuridica di cui all’articolo 6, par. 1, lettera f), del GDPR. L’organizzazione dovrà, quindi, procedere rispettando gli step sopra esaminati, ovvero valutando la presenza delle condizioni cumulative individuate nelle Linee guida ed effettuando il test di bilanciamento.

In aggiunta, l’EDPB specifica che vi sono pratiche di marketing caratterizzate da un elevato livello di intrusività nella sfera privata degli interessati. In questa categoria di pratiche vi rientrano la profilazione, il tracciamento a fini di marketing ed il “monitoraggio degli individui su più siti web, luoghi, dispositivi o servizi”. Difficilmente il test di bilanciamento svolto in relazione a tali attività restituirebbe un esito positivo.

D’altra parte, il Comitato evidenzia che vi sono anche pratiche meno intrusive che, effettivamente, potrebbero trovare fondamento nella base giuridica del legittimo interesse. Un’attività rientrante in questa categoria di pratiche consiste, ad esempio, nell’inviare la stessa comunicazione commerciale (ad esempio, un catalogo di prodotti) a tutti i clienti esistenti che hanno già acquistato prodotti simili a quelli pubblicizzati.

È possibile trarre un’importante considerazione: il bilanciamento di interessi relativo ad attività qualificabili come marketing diretto, ovvero aventi uno scopo commerciale ed indirizzate direttamente e individualmente a un consumatore (CGUE, C-102/2020), dovrà concentrarsi, in particolare, sulla valutazione del livello di intrusività del trattamento.

Caso pratico: la cessione dei dati a terze parti per finalità di marketing

Di recente, mediante la sentenza del 4 ottobre 2024 nella causa C-621/2022, la Corte di Giustizia dell’Unione Europea si è espressa in merito al ricorso alla base giuridica dell’interesse legittimo in caso di cessione dei dati a terzi per attività di marketing diretto. La pronuncia della Corte, oltre a ribadire alcuni concetti cardine previsti anche dalle Linee guida, prevede alcune considerazioni pratiche interessanti.

Il caso in oggetto riguarda, in particolare, l’associazione reale di tennis dei Paesi Bassi (“KNLTB”), sanzionata dal Garante olandese (“AP”) per 525 mila euro, per aver venduto i dati dei propri associati, sulla base del legittimo interesse, ai propri sponsor, ovvero una società che commercia prodotti sportivi ed il più grande fornitore di giochi d’azzardo e da casinò dei Paesi Bassi.

Il KNLTB ha impugnato il provvedimento dell’Autorità dinanzi al Tribunale di Amsterdam. Considerata la necessità di interpretare alcuni concetti chiave del GDPR, il giudice ha deciso di sottoporre la questione alla CGUE per comprendere, in particolare, se un interesse strettamente commerciale, ossia la fornitura di dati personali dietro pagamento senza consenso dell’interessato, in talune circostanze possa essere considerato legittimo interesse.

La Corte ha esaminato il caso verificando le condizioni cumulative riportate nelle Linee guida:

1. in merito alla presenza di un interesse qualificabile come legittimo, la Corte non ha escluso che “un interesse commerciale del titolare del trattamento, consistente nella promozione e nella vendita di spazi pubblicitari a fini di marketing, possa essere considerato un legittimo interesse ai sensi dell’articolo 6, paragrafo 1, lettera f), del GDPR”;
2. tuttavia, in merito alla seconda condizione, i giudici europei hanno rilevato che il KNLTB avrebbe potuto informare previamente i suoi membri e chiedere a questi ultimi se desiderassero che i loro dati fossero trasmessi a terzi a fini di pubblicità o di marketing, soluzione meno intrusiva che avrebbe consentito ai membri di conservare il controllo sulla divulgazione dei loro dati personali;
3. infine, per quanto riguarda la ponderazione degli interessi in gioco, la Corte ha rinviato la determinazione del bilanciamento al giudice del rinvio, mettendo in guardia rispetto alla circostanza che i dati sono stati trasmessi, non solo a una società operante in un settore potenzialmente di interesse per i membri del KNLTB, ma anche a un fornitore di giochi d’azzardo e di giochi da casinò, le cui attività di promozione e di marketing “sono esercitate in un contesto che, contrariamente a quanto risulta dal considerando 47 del GDPR, non sembra essere caratterizzato da una relazione pertinente e adeguata tra gli interessati e il titolare del trattamento”.

Risulta evidente che, alle spalle del test di bilanciamento e, più in generale, dietro la scelta di ricorrere al legittimo interesse, si celano molteplici considerazioni da fare, di natura sia tecnica che giuridica. Qualsiasi esercizio di bilanciamento rimane una valutazione mirata da attuare caso per caso.

Il nostro Team ha sviluppato apposite metodologie volte a verificare la corretta applicazione dell’interesse legittimo ed è disponibile a condividere la propria esperienza con la tua organizzazione per fornirti supporto. Contattaci per ulteriori informazioni.