Nel corso della sua ultima sessione plenaria, il comitato europeo per la protezione dei dati (EDPB) ha adottato orientamenti sul trattamento dei dati personali basato su un interesse legittimo.
I titolari del trattamento hanno bisogno di una base giuridica per trattare i dati personali in modo lecito. L’interesse legittimo è una delle sei possibili basi giuridiche.
Le presenti linee guida analizzano i criteri di cui all’articolo 6, paragrafo 1, lettera f), GDPR che i titolari del trattamento devono soddisfare per trattare legittimamente i dati personali sulla base di un interesse legittimo. Prende inoltre in considerazione la recente sentenza della Corte di giustizia dell’Unione europea in materia (C-621/22, 4 ottobre 2024).
Per poter invocare un interesse legittimo, il titolare del trattamento deve soddisfare tre condizioni cumulative:
- il perseguimento di un interesse legittimo da parte del responsabile del trattamento o di terzi;
- la necessità di trattare i dati personali al fine di perseguire l’interesse legittimo;
- gli interessi o le libertà e i diritti fondamentali delle persone non prevalgono sugli interessi legittimi del titolare del trattamento o di terzi (esercizio di bilanciamento).
Anzitutto, solo gli interessi leciti, chiaramente e precisamente articolati, reali e presenti possono essere considerati legittimi. Ad esempio, tali interessi legittimi potrebbero sussistere in una situazione in cui la persona fisica è un cliente o al servizio del titolare del trattamento.
In secondo luogo, se esistono alternative ragionevoli, altrettanto efficaci, ma meno intrusive per conseguire gli interessi perseguiti, il trattamento può non essere considerato necessario. Anche la necessità di un trattamento dovrebbe essere esaminata con il principio della minimizzazione dei dati.
In terzo luogo, il titolare del trattamento deve garantire che il suo interesse legittimo non prevalga sugli interessi della persona, i diritti fondamentali delle libertà. In questo esercizio di bilanciamento, il titolare del trattamento deve tenere conto degli interessi delle persone fisiche, dell’impatto del trattamento e delle loro ragionevoli aspettative, nonché dell’esistenza di garanzie aggiuntive che potrebbero limitare l’impatto sulla persona fisica.
Inoltre, i presenti orientamenti spiegano in che modo tale valutazione dovrebbe essere effettuata nella pratica, anche in una serie di contesti specifici quali la prevenzione delle frodi, il marketing diretto e la sicurezza delle informazioni. Il documento spiega anche il rapporto tra questa base giuridica e una serie di diritti degli interessati ai sensi del GDPR.
