L’AZIENDA CHE NON PUÒ OTTENERE L’OK DELL’INTERESSATO DEVE DOCUMENTARE IL LEGITTIMO INTERESSE
Antonio Ciccia Messina
Deve compilare un apposito documento l’impresa che vuole trattare dati senza il consenso per un suo legittimo interesse imprenditoriale: si chiama bilanciamento del legittimo interesse o, con l’acronimo inglese, “Lia” (legitimate interest assessment). Si deve usare, ad esempio, per la videosorveglianza aziendale, per molti trattamenti che coinvolgono i lavoratori dipendenti, per i trattamenti relativi al diritto di difesa. Sono casi in cui è impraticabile chiedere il consenso: per squilibrio dei rapporti o per impossibilità di chiederlo o per impossibilità di acquisirlo. Non bisogna dimenticarsene, perché altrimenti scattano le sanzioni dei Garanti della privacy, ex art. 6 del regolamento Ue sulla protezione dei dati (Gdpr). Ma come fare questa “Lia”? Ecco un vademecum pronto all’uso.
Base giuridica. Nel primo capitolo bisogna valutare la base giuridica applicabile, descrivendo per quale ragione non si può usare il consenso o altra condizione di liceità del trattamento.
Qualificazione dell’interesse. Nel secondo capitolo bisogna qualificare se l’interesse sia “legittimo” o “illegittimo”, descrivendo in positivo le ragioni dell’impresa. Per essere considerato legittimo un interesse deve soddisfare cumulativamente le seguenti condizioni: essere lecito (cioè in conformità con il diritto dell’Ue e nazionale); essere chiaramente articolato da consentire di effettuare il test di bilanciamento rispetto agli interessi e ai diritti fondamentali dell’interessato; rappresentare un interesse reale e presente (cioè non essere speculativo).
Principio di necessità. L’impresa deve determinare se il trattamento sia necessario per raggiungere l’interesse perseguito. Nella “Lia” bisogna considerare se esistono altri mezzi meno invasivi (dell’uso dei dati senza il consenso dell’interessato) per raggiungere lo scopo identificato del trattamento e servire l’interesse legittimo del titolare del trattamento.
Bilanciamento provvisorio. La fase quattro è quella in cui si stabilisce un’ipotesi di bilanciamento, valutando se l’interesse del titolare del trattamento prevalga sui diritti o sugli interessi fondamentali degli interessati. L’impresa deve: considerare la natura degli interessi del responsabile del trattamento (diritto fondamentale, altro tipo di interesse, interesse pubblico); valutare l’eventuale pregiudizio subito dal titolare, da terzi o dalla comunità più ampia qualora il trattamento dei dati non abbia luogo; tenere conto della natura dei dati (sensibili in senso stretto o più ampio?); considerare lo status dell’interessato (minore, dipendente, ecc.) e del responsabile del trattamento (ad es. se un’organizzazione aziendale si trova in una posizione dominante sul mercato); prendere in considerazione il modo in cui i dati vengono elaborati (su larga scala, data mining, profilazione); identificare i diritti e/o gli interessi fondamentali dell’interessato; considerare le ragionevoli aspettative degli interessati; valutare gli impatti sull’interessato e confrontarli con il beneficio atteso dal trattamento da parte del titolare del trattamento.
Bilanciamento finale. Il quinto capitolo attesta il bilanciamento finale tenendo conto di ulteriori salvaguardie. In questa fase l’impresa valuta se identificare e attuare adeguate garanzie aggiuntive derivanti dall’obbligo di diligenza e diligenza quali: minimizzazione dei dati (ad esempio limitazioni rigorose alla raccolta dei dati o cancellazione immediata dei dati dopo l’uso); misure tecniche e organizzative per garantire che i dati non possano essere utilizzati per prendere decisioni o altre azioni nei confronti delle persone (“separazione funzionale”); ampio uso di tecniche di anonimizzazione, aggregazione di dati, tecnologie che migliorano la privacy, privacy by design, privacy e valutazioni d’impatto sulla protezione dei dati; maggiore trasparenza, diritto generale e incondizionato di opposizione (opt-out), portabilità dei dati e relative misure per conferire potere agli interessati.
Conformità e trasparenza. L’impresa nel sesto capitolo deve dimostrare la conformità e garantire la trasparenza. Ciò riguarda sia le informative agli interessati sia la documentazione. Sotto il primo profilo si devono informare gli interessati dei motivi per ritenere che l’equilibrio penda a favore del responsabile del trattamento. Sotto il secondo profilo l’impresa avrà cura di tenere la documentazione a disposizione delle autorità di protezione dei dati.
Opposizione. Che cosa succede se l’interessato esercita il suo diritto di opposizione è materia del settimo e ultimo capitolo del documento. Nel caso in cui l’interessato si opponga al trattamento, è opportuno che l’impresa garantisca che sia in atto un meccanismo adeguato e di facile utilizzo per rivalutare l’equilibrio per quanto riguarda la persona interessata e interrompere il trattamento dei suoi dati se dalla rivalutazione emerge che prevalgono i suoi interessi.
Qualora sia previsto un diritto incondizionato di opt-out come garanzia aggiuntiva, o perché ciò è altrimenti ritenuto una garanzia aggiuntiva necessaria o utile, nel caso in cui l’interessato si opponga al trattamento, dovrebbe essere garantito che tale scelta sia rispettata a mera richiesta, senza la necessità di compiere ulteriori passi o valutazioni.
Fonte: