TUTELA DEI DATI PERSONALI
Comitato europeo per la protezione dei dati personali: adottate le Linee Guida sul trattamento dei dati personali basato sul legittimo interesse.
I titolari del trattamento dei dati hanno bisogno di una base giuridica per trattare i dati personali in modo lecito. L'interesse legittimo è una delle sei possibili basi giuridiche.
Le Linee guida analizzano i criteri di cui all'articolo 6, paragrafo 1, lettera f) del GDPR che i titolari del trattamento devono soddisfare per trattare lecitamente i dati personali sulla base di un interesse legittimo. Prende inoltre in considerazione la recente sentenza della Corte di giustizia in materia (C-621/22 del 4 ottobre 2024).
Per poter fare affidamento sul legittimo interesse, il titolare del trattamento deve soddisfare tre condizioni cumulative:
- il perseguimento di un legittimo interesse da parte del titolare del trattamento o di un terzo;
- la necessità di trattare i dati personali ai fini del perseguimento del legittimo interesse;
- gli interessi o le libertà e i diritti fondamentali delle persone fisiche non prevalgono sull'interesse legittimo del titolare del trattamento o di un terzo (ponderazione).
Innanzitutto, possono essere considerati legittimi solo gli interessi legittimi, articolati in modo chiaro e preciso, reali e presenti. Ad esempio, tali interessi legittimi potrebbero esistere in una situazione in cui l'individuo è un cliente o al servizio del titolare del trattamento.
In secondo luogo, se esistono alternative ragionevoli, altrettanto efficaci, ma meno invasive per raggiungere gli interessi perseguiti, il trattamento può non essere considerato necessario. Anche la necessità di un trattamento dovrebbe essere esaminata con il principio della minimizzazione dei dati.
In terzo luogo, il titolare del trattamento deve garantire che sul suo legittimo interesse non prevalgano gli interessi, i diritti o le libertà fondamentali dell'individuo. In questo esercizio di bilanciamento, il titolare del trattamento deve tenere conto degli interessi delle persone, dell'impatto del trattamento e delle loro ragionevoli aspettative, nonché dell'esistenza di garanzie aggiuntive che potrebbero limitare l'impatto sulla persona.
Inoltre, i presenti orientamenti spiegano in che modo tale valutazione dovrebbe essere effettuata nella pratica, anche in una serie di contesti specifici quali la prevenzione delle frodi, il marketing diretto e la sicurezza delle informazioni. Il documento spiega anche il rapporto tra questa base giuridica e una serie di diritti degli interessati ai sensi del GDPR.
Gli orientamenti saranno oggetto di consultazione pubblica fino al 20 novembre 2024.