Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter

La base giuridica del legittimo interesse: le linee Guida dell’EDPB e l’apertura della recente sentenza della Corte di Giustizia

23/10/2024

Un ottobre che si apre con al centro il tema del legittimo interesse come base giuridica.

L’art. 6 lett. f) GDPR, disciplinando le basi giuridiche che consentono un corretto trattamento dei dati, alla lettera f) stabilisce la liceità anche quando

f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore

In sostanza il titolare del trattamento che vanta un legittimo interesse (suo o di terzi) può decidere di trattare i dati in presenza di due ulteriori condizioni: la “necessità” del trattamento e un favorevole bilanciamento tra  legittimo interesse del titolare e gli interessi/diritti dell’interessato.

Si tratta di una base giuridica molto “delicata”, che viene scarsamente utilizzata per due ordini di motivi: il primo è il non chiaro perimetro della nozione giuridica di un interesse che possa definirsi “legittimo”; il secondo è la difficoltà (o aleatorietà) della comparazione tra interesse del titolare a trattare  i dati (da una parte) e interesse/diritto dell’interessato a che i suoi dati vengano trattati (dall’altra).

Su questo tema, quasi in contemporanea, l’EDPB ha pubblicato le  Guidelines on the processing of personal data based on legitimate interest (apparse sul sito  il 9 ottobre e ora in consultazione pubblica fino al 20 novembre 2024) e la Corte di Giustizia delle Comunità Europee ha emanato la    la sentenza  4 ottobre 2024 – C-621/22 su un caso di applicazione del legittimo interesse (sentenza veramente interessante).

Vediamo allora in sintesi i contenuti delle Linee Guida e cosa stabilisce la sentenza.

Le linee Guida dell’EDPB

Le linee guida stabiliscono in primo luogo che l'articolo 6, paragrafo 1, lettera f), del GDPR è una delle sei basi giuridiche per il trattamento dei dati personali previste dal GDPR ed ha pari forza e validità delle altre basi giuridiche. In altre parole non è una base giuridica di “serie B”,  da utilizzarsi per situazioni rare o inaspettate oppure ove si valuti che altre basi giuridiche non siano applicabili.

Si precisa poi che  per applicare la base giuridica dell’interesse legittimo devono essere soddisfatte (ed altresì documentate in ossequio al principio di accountability)  tre condizioni cumulative:

  1. il perseguimento di un interesse legittimo da parte del responsabile del trattamento o di un terzo;
  2. la “necessità” di trattare i dati personali ai fini dei legittimi interessi perseguiti;
  3. la valutazione che gli interessi/libertà fondamentali/diritti degli interessati non prevalgano sui legittimi interessi del titolare del trattamento o di terzi.

Su questo tre punti le Linee Guida precisano che:

  • l’interesse del titolare deve essere valutato come “legittimo” quando lo stesso
    • non è contrario al diritto dell'UE o degli Stati membri (non si chiede quindi che l’interesse sia espressamente previsto legislativamente, ma basta che lo stesso non si ponga in contrasto con il quadro comunitario)
    • sia articolato in modo chiaro e preciso (e quindi sia possibile definirne il perimetro per bilanciarlo con gli interessi o i diritti e le libertà fondamentali dell'interessato)
    • sia reale e presente e non speculativo: vale a dire che è presente ed effettivo alla data del trattamento dei dati e non deve essere ipotetico a quella data
  • il trattamento dei dati personali deve essere considerato come “necessario” ai fini del perseguimento degli interessi considerati legittimi: sulla nozione di “necessarietà” (che peraltro ricorre anche in quasi tutto l’art. 9) le Linee Guida precisano che il trattamento è “necessario” quanto l’interesse sottostante non può ragionevolmente essere raggiunto in modo altrettanto efficace con altri mezzi meno restrittivi dei diritti e delle libertà fondamentali degli interessati,
  • infine gli interessi, i diritti e le libertà fondamentali dell’interessato non devono prevalere sugli interessi (legittimi) del titolare dei dati;  tale condizione comporta un bilanciamento delle posizioni (contrapposte) tra titolare ed interessato (c.d. test di bilanciamento), il cui esito dipenderà in linea di principio dalle circostanze specifiche del trattamento in questione. Ovviamente il trattamento fondato sul legittimo interesse potrà essere effettuato solo se il risultato di tale bilanciamento è favorevole per il titolare.

La linea guida dà poi atto che la difficoltà di applicazione della base giuridica sta proprio nella attività di bilanciamento degli interessi e dei diritti contrapposti: tale attività richiede infatti la piena considerazione di una serie di fattori, quali la natura e la fonte degli interessi legittimi rilevanti, l'impatto del trattamento sull'interessato e le sue ragionevoli aspettative in merito al trattamento, e l'esistenza di garanzie aggiuntive che potrebbero limitare l'impatto indebito sull'interessato.

La sentenza della Corte di Giustizia

In tema poi di applicazione concreta del legittimo interesse come base giuridica, il 4 ottobre 2024 la Corte di giustizia europea ha emesso una sentenza sul caso C-621/22 in seguito alle domande poste dal Tribunale distrettuale di Amsterdam relativamente ad  una controversia tra la Royal Dutch Lawn Tennis Association (KNLTB) e l'Autorità olandese per la protezione dei dati personali (DPA)

Questi i fatti.

Nel 2018 la KNLTB (federazione sportiva i cui soci sono gli iscritti alle diverse associazioni tennis affiliate) decideva di vendere alcuni dati personali dei suoi soci a due aziende sponsor che li acquistavano per scopi promozionali (SportshopsDirect, Azienda che vende prodotti sportivi e NLO, un fornitore di lotterie e giochi da casinò nei Paesi Bassi)

Tale vendita avveniva utilizzando come base giuridica di tale trasferimento a titolo oneroso il “legittimo interesse” della stessa KNLTB.

Nel 2019, la (DPA) emetteva  una multa di 525.000 euro al KNLTB sostenendo la non liceità dell’interesse legittimo quale corretta base giuridica per tale trattamento (vendita di dati): più esattamente la DPA sosteneva che solo gli interessi specificamente riconosciuti e protetti dal diritto comunitario o nazionale possono essere qualificati come “legittimi” : in questo senso gli obiettivi commerciali di KNLTB non potevano costituire un interesse “legalmente riconosciuto” e, pertanto, non potevano giustificare il trattamento dei dati personali pertinenti.

La Corte di Giustizia la pensa un po’ diversamente.

Nella sua sentenza infatti i giudici, ripercorrendo le tre condizioni che devono sussistere per poter utilizzare l’interesse legittimo  come base giuridica,  stabilisce che la legittimità dell’interesse non deve basarsi su una previsione normativa, ma basta che l’interesse stesso non sia contrario all’ordinamento: sotto questo profilo la Corte ritiene che anche un interesse puramente commerciale, come la vendita di dati personali per scopi di marketing diretto, può -  in linea di principio - costituire un interesse legittimo e costituire quindi una base giuridica valida per la cessione di dati.

La Corte, affrontando il caso specifico,  richiama comunque l’attenzione sulla nozione di  “necessità” del  trattamento attuato con quelle specifiche modalità (sottolineando che forse sarebbe stato possibile per il KNLTB informare preventivamente i propri soci e chiedere loro se erano d'accordo con la condivisione dei loro dati con terzi per scopi pubblicitari o di marketing) sottolineando altresì l’obbligatorietà di un attento equilibrio tra interesse legittimo di KNLTB e gli interessi/diritti dei soci che tenga anche in considerazione la ragionevole aspettativa dell’interessato sui possibili trattamenti di dati.

Conclusioni

La contemporanea uscita delle Linee Guida e della sentenza della CGCE, entrambe focalizzate sul legittimo interesse, fanno chiarezza su tale base giuridica, da sempre  considerata “pericolosa”.

In particolare i giudici della Corte di Giustizia prendono una posizione molto forte, considerando che nello specifico il caso verteva su un chiaro interesse commerciale di marketing e che il trattamento consisteva un trasferimento dati a titolo oneroso (cioè una vendita).

Chiaramente rimane il tema del test di compatibilità, ma indubbiamente si aprono nuovi orizzonti.