Non puo’ esserci di certo sfuggito che il GDPR e’ spesso nebuloso e che raramente, se non addirittura mai, ci indica la retta via in maniera chiara e precisa.
Non e’ da meno quando al comma 1 lettera f dell’art. 6 ci informa che il legittimo interesse rappresenta una condizione di liceità per il trattamento.
Eccolo qui l’art.6, che e’ sempre bene che ogni addetto ai lavori conosca molto bene proprio perche’ prova a delimitare il perimetro all’interno del quale il trattamento dei dati e’ lecito (senza mai dimenticare, che le 6 condizioni per la liceità devono essere verificate prima del trattamento e non dopo):
1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.
- Articolo 6 del GDPR
Fortunatamente pero’ in questo caso il considerando 47 del GDPR prova a venirci incontro indicandoci in quali casi il Legittimo Interesse rappresenta una base giuridica legittima:
I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento.
Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento.
In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine.
Gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali.
Posto che spetta al legislatore prevedere per legge la base giuridica che autorizza le autorità pubbliche a trattare i dati personali, la base giuridica per un legittimo interesse del titolare del trattamento non dovrebbe valere per il trattamento effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.
Costituisce parimenti legittimo interesse del titolare del trattamento interessato trattare dati personali strettamente necessari a fini di prevenzione delle frodi.
- Considerando 47 del GDPR
Ed ecco quindi che tenendo sempre a mente i requisiti fondamentali per poter basare il Trattamento su legittimo interesse, ovvero:
- Informare le persone del trattamento al momento della raccolta dati
- Verificare che non vengano lesi diritti e libertà dell’interessato.
Riusciamo a carpire i 3 casi in cui esso possa essere utilizzato, ovvero:
1) Rapporto di lavoro con i propri dipendenti
2) Marketing Diretto
3) Prevenzione delle frodi
Tenendo presente che il punto 1) qui sopra e’ di per se abbastanza chiaro e che il punto 3) dovrebbe rappresentare, non essendo noi degli inquirenti, una rarissima eccezione al Trattamento dei dati, merita un rapido approfondimento il punto 2).
Partendo infatti dalla definizione di comunicaresulweb.com capiamo meglio cosa si intende per marketing diretto:
- Informare le persone del trattamento al momento della raccolta dati
- Verificare che non vengano lesi diritti e libertà dell’interessato.
Riusciamo a carpire i 3 casi in cui esso possa essere utilizzato, ovvero:
1) Rapporto di lavoro con i propri dipendenti
2) Marketing Diretto
3) Prevenzione delle frodi
Tenendo presente che il punto 1) qui sopra e’ di per se abbastanza chiaro e che il punto 3) dovrebbe rappresentare, non essendo noi degli inquirenti, una rarissima eccezione al Trattamento dei dati, merita un rapido approfondimento il punto 2).
Partendo infatti dalla definizione di comunicaresulweb.com capiamo meglio cosa si intende per marketing diretto:
Il Marketing Diretto è l’insieme degli strumenti di marketing e delle tecniche di pubblicità attraverso cui le aziende (ma più in generale qualsiasi organizzazione, anche quelle senza scopo di lucro) comunicano direttamente con la clientela. (Vale per la clientela potenziale come per quella già acquisita).
il marketing diretto si pone l’obiettivo di creare un rapporto ono te one con i possibili clienti (o quelli già acquisiti) dell’azienda.
Le caratteristiche del marketing diretto sono quindi specificità e possibilità di misurare i ritorni.
- Definizione di Marketing Diretto tratta da comunicaresulweb.com
E sin qui tutto abbastanza bene, non fosse che a riportarci nella nebbia ci pensa il considerando 49 del GDPR:
Costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell’informazione, vale a dire la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti.
- Considerando 49 del GDPR
Una interpretazione un po’ piu’ ampia di quanto sin qui detto ci porta a ritenerere che il Legittimo Trattamento possa essere applicato come base giuridica per il Trattamento nei seguenti casi:
- protezione contro le frodi;
- misure di sicurezza;
- trasferimento di dati tra parti diverse della stessa azienda;
- elaborazione al fine di verifica dell'età del soggetto;
- marketing diretto ed esercizio del diritto di opposizione ad esempio nel marketing diretto, nel qual caso può essere necessario mantenere la mail per impedire l'invio di ulteriori comunicazione commerciali;
- comunicazione di reati all'autorità giudiziaria;
- in ambito lavorativo l'utilizzo di dati di localizzazione (smartphone, GPS);
- mantenimento della sicurezza delle reti e delle comunicazioni;
Elenco che, come sempre quando si parla di GDPR appare ben poco significante se decontestualizzato. Solo un’analisi piu’ dettagliata di come avviene il Trattamento nei casi indicati qui sopra, infatti, puo’ portare ad una verifica dell’accountability del titolare e quindi della liceità del Trattamento.
- protezione contro le frodi;
- misure di sicurezza;
- trasferimento di dati tra parti diverse della stessa azienda;
- elaborazione al fine di verifica dell'età del soggetto;
- marketing diretto ed esercizio del diritto di opposizione ad esempio nel marketing diretto, nel qual caso può essere necessario mantenere la mail per impedire l'invio di ulteriori comunicazione commerciali;
- comunicazione di reati all'autorità giudiziaria;
- in ambito lavorativo l'utilizzo di dati di localizzazione (smartphone, GPS);
- mantenimento della sicurezza delle reti e delle comunicazioni;
Elenco che, come sempre quando si parla di GDPR appare ben poco significante se decontestualizzato. Solo un’analisi piu’ dettagliata di come avviene il Trattamento nei casi indicati qui sopra, infatti, puo’ portare ad una verifica dell’accountability del titolare e quindi della liceità del Trattamento.