Linee guida sul trattamento dei dati personali basate sull'articolo 6 del GDPR
L’articolo 6, comma 1, lettera f) del regolamento europeo sulla protezione dati personali è da tempo oggetto di dubbiosa interpretazione. Ecco perché questo documento, pubblicato ad ottobre 2024, rappresenta una preziosissima linea guida per tutti i titolari del trattamento.
Prima di sono illustrare queste preziose linee guida, mettiamo a disposizione dei lettori l’articolo in questione.
Articolo 6 Liceità del trattamento
1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
omissis
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.
Appare evidente che la formulazione dell’articolo può lasciare un ampio margine di discrezionalità al titolare del trattamento, per avviare trattamenti che potrebbero non essere eseguiti in maniera legittima.
In particolare, la nostra attenzione deve concentrarsi sul fatto che il trattamento è lecito quando è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi. Ricordo che le basi giuridiche che consentono la liceità del trattamento sono complessivamente sei. Negli ultimi tempi si è manifestata una tendenza, da parte di molti titolari al trattamento, di utilizzare i riferimenti alla lettera f) come “ultima risorsa” per situazione rare od impreviste, in cui si ritiene che altre basi giuridiche non si applicano. Questo specifico caso di liceità non dovrebbe quindi essere scelto automaticamente ed il suo uso non dovrebbe essere indebitamente esteso, sulla base della percezione che questa liceità sia meno vincolante altre basi giuridiche.
Affinché il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), del GDPR, devono essere soddisfatte tre condizioni cumulative:
- in primo luogo, il perseguimento di un interesse legittimo da parte del titolare del trattamento o di terzi;
- in secondo luogo, la necessità di trattare i dati personali ai fini dell'interesse legittimo perseguito; e
- in terzo luogo, gli interessi o le libertà e i diritti fondamentali degli interessati non hanno la precedenza sugli interessi legittimi del titolare del trattamento o di una terza parte.
Per determinare se un determinato trattamento di dati personali possa essere basato sull'articolo 6(1)(f) del GDPR, i titolari del trattamento dovrebbero valutare attentamente e documentare se queste tre condizioni cumulative sono soddisfatte. Questa valutazione dovrebbe essere effettuata prima di eseguire le operazioni di trattamento pertinenti.
Per quanto riguarda la condizione relativa al perseguimento di un interesse legittimo, non tutti gli interessi del titolare del trattamento o di una terza parte possono essere considerati legittimi; solo quegli interessi che sono legittimi, precisamente articolati e presenti, possono essere validamente invocati per fare affidamento sull'articolo 6(1)(f) del GDPR come base giuridica. È inoltre responsabilità del titolare del trattamento informare l'interessato degli interessi legittimi perseguiti, laddove tale trattamento sia basato sull'articolo 6(1)(f) del GDPR.
Per quanto riguarda la condizione, secondo cui il trattamento dei dati personali è necessario ai fini degli interessi legittimi perseguiti, occorre accertare se gli interessi legittimi perseguiti non possano essere ragionevolmente conseguiti in modo altrettanto efficace con altri mezzi meno restrittivi dei diritti e delle libertà fondamentali degli interessati, tenendo conto anche dei principi sanciti dall'articolo 5(1) del GDPR.
Se esistono tali altri mezzi, il trattamento non può essere basato sull'articolo 6(1)(f) del GDPR.
Per quanto riguarda la condizione, secondo cui gli interessi o i diritti e le libertà fondamentali della persona interessata dal trattamento dei dati non prevalgano sugli interessi legittimi del titolare del trattamento o di terzi, tale condizione comporta un bilanciamento dei diritti e degli interessi contrapposti in causa, che dipende in linea di principio dalle circostanze specifiche del trattamento in questione.
Il trattamento può aver luogo solo se l'esito di tale bilanciamento dimostra che gli interessi legittimi perseguiti non sono superati dagli interessi, dai diritti e dalle libertà degli interessati.
Una corretta valutazione ai sensi dell'articolo 6(1)(f) del GDPR non è un esercizio semplice. Piuttosto, la valutazione, e in particolare il bilanciamento di interessi e diritti opposti, richiede la piena considerazione di una serie di fattori, come
- la natura e la fonte del/i legittimo/i interesse/i rilevante/i,
- l'impatto del trattamento sull'interessato e le sue ragionevoli aspettative in merito al trattamento, e
- l'esistenza di ulteriori garanzie che potrebbero limitare l'impatto indebito sull'interessato.
Queste linee guida forniscono indicazioni su come tale valutazione dovrebbe essere svolta nella pratica, anche in una serie di contesti specifici (ad esempio, prevenzione delle frodi, marketing diretto, sicurezza delle informazioni, ecc.), in cui questa base giuridica può essere presa in considerazione. Le linee guida spiegano anche la relazione che esiste tra l'articolo 6(1)(f) del GDPR e una serie di diritti dell'interessato, ai sensi del GDPR.
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.