Le linee guida EDPB: una chiave ermeneutica per il legittimo interesse e la necessità

di Michele Di Salvo

L’8 ottobre 2024, l’European Data Protection Board (EDPB) ha pubblicato le Linee Guida n. 1/2024 sulla base giuridica del “legittimo interesse” ex art. 6, paragrafo 1), lettera f), del Regolamento UE n. 2016/679 secondo il quale “Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”.

L’EDPB ha voluto chiarire, all’interno delle Linee Guida che l’art. 6, paragrafo 1), lettera f), del 

GDPR non deve essere considerato come l’”ultima risorsa” per situazioni rare o inaspettate, in cui si ritiene che altre basi giuridiche non siano applicabili, né deve essere scelto automaticamente o il suo uso indebitamente esteso (cd. porta aperta) sulla base che tale articolo sia meno vincolante rispetto alle residuali basi giuridiche previste, sempre, dall’art. 6 del GDPR; ha ricordato che il GDPR non ha stabilito, affatto, alcuna gerarchia tra le differenti basi giuridiche di cui all’art. 6, paragrafo 1), del GDPR; infine, ha ricordato che tale base giuridica non è una novità introdotta dal GDPR, dato che l’art. 7, lettera f), della Direttiva 95/46/CE prevedeva, a suo tempo, una base giuridica analoga a quella, attualmente, disciplinata dall’art. 6, paragrafo 1), lettera f), del GDPR.

Le linee guida di cui parliamo in questa sede sono importanti trasversalmente perché contribuiscono in qualche modo a chiarire – nell’ambito di una visione europea – anche ermeneuticamente due concetti chiave tipici del diritto amministrativo: il legittimo interesse e il criterio della necessità.

Se i parametri e le interpretazioni qui indicate valgono in generale per il trattamento dei dati personali, altrettanto – seppur nel bilanciamento anche qui contemplato dell’interesse privato e pubblico – devono valere (o quanto meno servire da supporto interpretativo) per qualsiasi procedimento amministrativo, se non altro in materia di accesso agli atti e accesso ai dati personali.

Affinché il trattamento sia basato, appunto, sull’art. 6, paragrafo 1), lettera f), del GDPR, devono essere soddisfatte le seguenti tre condizioni cumulative, oggetto di un’attenta valutazione e documentazione specifica, anche (e soprattutto) alla luce delle numerose sentenze della Corte di Giustizia dell’Unione Europea (CGUE)

1) Perseguimento di un interesse legittimo del Titolare del trattamento (o di un terzo)

Sul punto, è stato, subito, sottolineato che l’esistenza e l’identificazione di un interesse legittimo perseguito dal Titolare del trattamento (o da un terzo) non è di per sé sufficiente per invocare l’art. 6, paragrafo 1), lettera f), del GDPR come base giuridica: il Titolare del trattamento (o un terzo) può avvalersi di questa base giuridica, solo se ha anche valutato, e concluso, che il trattamento previsto è strettamente necessario per il perseguimento di tale legittimo interesse, e che gli interessi, i diritti e le libertà fondamentali della persona interessa non prevalgano sul legittimo interesse perseguito.

Il concetto di “interesse” (strettamente correlato, ma distinto, dal concetto di “finalità” menzionato all’art. 5, paragrafo 1), lettera b), del GDPR) è da intendersi quale, appunto, interesse o vantaggio più ampio che un Titolare del trattamento (o un terzo) può avere nell’intraprendere una specifica attività di trattamento.

Non esiste un elenco esaustivo di interessi che possono essere considerati legittimi. Tuttavia, sia il GDPR, sia la CGUE sia le suddette e precedenti Linee Guida in materia hanno tratteggiato un’ampia gamma di interessi che possono essere considerati legittimi, quali ad esempio: esercizio della libertà di espressione e di informazione; esercizio di un diritto in via giudiziale, compreso il recupero del credito tramite procedure extragiudiziali; prevenzione di frodi; procedure per la denuncia di irregolarità; sicurezza fisica, sicurezza informatica e sicurezza della rete; garantire il funzionamento continuo di siti internet; ottenere le informazioni personali di una persona che ha danneggiato la proprietà di qualcun altro; miglioramento di un prodotto.

A parere dell’EDPB, un interesse può essere considerato legittimo, se sono soddisfatti i seguenti criteri cumulativi: a) l’interesse è legittimo, ossia non contrario al diritto comunitario o nazionale; b) l’interesse è articolato in modo chiaro e preciso: infatti, il perimetro dell’interesse legittimo perseguito deve essere, chiaramente, identificato, al fine di garantire che sia, adeguatamente, bilanciato con gli interessi o i diritti e le libertà fondamentali dell’interessato; c) l’interesse è reale e presente, e non speculativo: l’interesse deve essere, dunque, presente ed effettivo alla data del trattamento dei dati, e non deve essere ipotetico; d) come regola generale, l’interesse perseguito dal Titolare del trattamento deve essere correlato alle effettive attività di trattamento del Titolare del trattamento medesimo.

2) Necessità di trattare i dati personali ai fini dei legittimi interessi perseguiti

Il concetto di “necessità” ha un significato indipendente nel diritto dell’UE, che deve essere interpretato in modo da riflettere pienamente gli obiettivi della normativa sulla privacy.

Dunque, la valutazione di ciò che è “necessario” comporta la verifica se, in pratica, i legittimi interessi di trattamento dei dati perseguiti non possono essere ragionevolmente raggiunti in modo altrettanto efficace con altri mezzi meno restrittivi dei diritti e delle libertà fondamentali degli interessati. In questo contesto, la CGUE ha, espressamente, ricordato che la condizione relativa alla necessità del trattamento deve essere esaminata insieme al principio di minimizzazione dei dati ex art. 5, paragrafo 1), lettera c), del GDPR.

3) Gli interessi o le libertà fondamentali e i diritti dei soggetti interessati non devono prevalere sui legittimi interessi del Titolare del trattamento (o di un terzo)

Questa condizione comporta un bilanciamento dei diritti e degli interessi contrapposti in questione che dipende, in linea di principio, dalle circostanze specifiche del caso particolare.

Di conseguenza, il Titolare del trattamento è tenuto a identificare e descrivere:

1. gli interessi, i diritti e le libertà fondamentali degli interessati (essi comprendono il diritto alla protezione dei dati personali, nonché altri diritti e libertà fondamentali, come il diritto alla libertà e alla sicurezza, la libertà di espressione e di informazione, la libertà di pensiero, di coscienza e di religione, la libertà di riunione e di associazione, il divieto di discriminazione, il diritto di proprietà o il diritto di integrità fisica e mentale);

2. l’impatto del trattamento sugli interessati, tra cui: la natura dei dati da trattare (in linea generale, quanto più sensibile o privata è la natura dei dati da trattare, tanto è più probabile che il trattamento di tali dati abbia un impatto negativo sull’interessato, e tanto più peso dovrebbe essere attribuito a tale aspetto nel test di bilanciamento); il contesto dell’elaborazione (a tal riguardo, il Titolare del trattamento deve tenere in debita considerazione, tra l’altro, i seguenti aspetti: portata del trattamento, e la quantità di dati personali da trattate [in termini di volume complessivo dei dati, volume dei dati per l’interessato e numero dei soggetti interessati; status del Titolare del trattamento, anche nei confronti del soggetto interessato; se i dati personali da trattare sono combinati o meno con altre serie di dati; grado di accessibilità e/o di pubblicità dei dati da trattare; status del soggetto interessato]); eventuali ulteriori conseguenze del trattamento (i fattori che il Titolare del trattamento può dover prendere in considerazione – a seconda del contesto e della natura dei dati da trattare – possono includere: potenziali decisioni o azioni future da parte di terzi che potrebbero essere basate sui dati personali da trattare da parte del Titolare del trattamento; eventuale produzione di effetti giuridici riguardanti l’interessato; esclusione o discriminazione di individui; diffamazione o, più in generale, situazioni in cui vi è il rischio di danneggiare la reputazione, il potere negoziale o l’autonomia dell’interessato; perdite finanziarie; esclusione da un servizio; rischi per la libertà, sicurezza, integrità fisica o mentale o vita);

3. le ragionevoli aspettative del soggetto interessato, in base alla relazione con il Titolare del trattamento;

4. il bilanciamento finale dei diritti e degli interessi contrapposti, compresa la possibilità di ulteriori misure di attenuazione: lo scopo dell’esercizio di bilanciamento non è quello di evitare, del tutto, l’impatto sui soggetti interessati e sui diritti di questi ultimi, ma è, piuttosto, quello di evitare un impatto sproporzionato e, dunque, di valutare il peso di questi aspetti in relazione tra loro;

5. il bilanciamento finale dei diritti e degli interessi contrapposti, compresa la possibilità di ulteriori misure di attenuazione: lo scopo dell’esercizio di bilanciamento non è quello di evitare, del tutto, l’impatto sui soggetti interessati e sui diritti di questi ultimi, ma è, piuttosto, quello di evitare un impatto sproporzionato e, dunque, di valutare il peso di questi aspetti in relazione tra loro.