la guida

Come valutare il legittimo interesse nel trattamento dei dati personali



Indirizzo copiato

Il concetto di legittimo interesse nel GDPR: definizione, applicazione, equilibrio con i diritti dell’interessato o di terzi, l’influenza dei Considerando dal 47 al 50, la posizione del Gruppo Articolo 29, esempi pratici e possibili conseguenze di un interesse legittimo “debole”. Tutto quello che occorre sapere

Pubblicato il 6 dic 2023

Massimo Borgobello

Avvocato a Udine, co-founder dello Studio Legale Associato BCBLaw, PHD e DPO Certificato 11697:2017



edpb edps data act

Nell’ambito del Regolamento Generale sulla Protezione dei Dati (GDPR), il concetto di legittimo interesse rappresenta uno dei cardini su cui si basa l’intero sistema di tutela delle informazioni personali. Ciononostante, la sua definizione e applicazione pratica non sono sempre lineari e scontate.

Emergono quindi una serie di questioni cruciali: cosa s’intende esattamente per legittimo interesse? Come bilanciare questo principio con i diritti dell’interessato o di terzi? Qual è l’influenza dei Considerando dal 47 al 50 in tale contesto? Qual è la posizione del Gruppo Articolo 29 riguardo a questa tematica? Tramite quali esempi pratici può manifestarsi un legittimo interesse? E infine, quali possono essere le conseguenze derivanti da un interesse legittimo ‘debole’?

Proviamo a rispondere a queste domande, con l’intento di fornire un quadro completo e dettagliato della materia.

Il legittimo interesse nel trattamento dei dati: definizione

Il legittimo interesse al trattamento da parte del titolare o di terzi è subordinato al bilanciamento in favore degli interessi o i diritti dell’interessato o di terzi; per questa ragione è una base giuridica “debole” per quanto attiene alla posizione del titolare del trattamento.

Vengono in rilevo i Considerando da 47 a 50 compresi.

“(47) I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento. Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento. In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine. Gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali. Posto che spetta al legislatore prevedere per legge la base giuridica che autorizza le autorità pubbliche a trattare i dati personali, la base giuridica per un legittimo interesse del titolare del trattamento non dovrebbe valere per il trattamento effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti. Costituisce parimenti legittimo interesse del titolare del trattamento interessato trattare dati personali strettamente necessari a fini di prevenzione delle frodi. Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.

48) I titolari del trattamento facenti parte di un gruppo imprenditoriale o di enti collegati a un organismo centrale possono avere un interesse legittimo a trasmettere dati personali all’interno del gruppo imprenditoriale a fini amministrativi interni, compreso il trattamento di dati personali dei clienti o dei dipendenti. Sono fatti salvi i principi generali per il trasferimento di dati personali, all’interno di un gruppo imprenditoriale, verso un’impresa situata in un paese terzo.

(49) Costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell’informazione, vale a dire la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comunicazione elettronica e fornitori di tecnologie e servizi di sicurezza. Ciò potrebbe, ad esempio, includere misure atte a impedire l’accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da «blocco di servizio» e ai danni ai sistemi informatici e di comunicazione elettronica.

(50) Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. In tal caso non è richiesta alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali. Se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento, il diritto dell’Unione o degli Stati membri può stabilire e precisare le finalità e i compiti per i quali l’ulteriore trattamento è considerato lecito e compatibile. L’ulteriore trattamento a fini di archiviazione nel pubblico interesse, o di ricerca scientifica o storica o a fini statistici dovrebbe essere considerato un trattamento lecito e compatibile. La base giuridica fornita dal diritto dell’Unione o degli Stati membri per il trattamento dei dati personali può anche costituire una base giuridica per l’ulteriore trattamento. Per accertare se la finalità di un ulteriore trattamento sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento dovrebbe, dopo aver soddisfatto tutti i requisiti per la liceità del trattamento originario, tener conto tra l’altro di ogni nesso tra tali finalità e le finalità dell’ulteriore trattamento previsto, del contesto in cui i dati personali sono stati raccolti, in particolare le ragionevoli aspettative dell’interessato in base alla sua relazione con il titolare del trattamento con riguardo al loro ulteriore utilizzo; della natura dei dati personali; delle conseguenze dell’ulteriore trattamento previsto per gli interessati; e dell’esistenza di garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento previsto.

Ove l’interessato abbia prestato il suo consenso o il trattamento si basi sul diritto dell’Unione o degli Stati membri che costituisce una misura necessaria e proporzionata in una società democratica per salvaguardare, in particolare, importanti obiettivi di interesse pubblico generale, il titolare del trattamento dovrebbe poter sottoporre i dati personali a ulteriore trattamento a prescindere dalla compatibilità delle finalità. In ogni caso, dovrebbe essere garantita l’applicazione dei principi stabiliti dal presente regolamento, in particolare l’obbligo di informare l’interessato di tali altre finalità e dei suoi diritti, compreso il diritto di opporsi. L’indicazione da parte del titolare del trattamento di possibili reati o minacce alla sicurezza pubblica e la trasmissione dei dati personali pertinenti a un’autorità competente in singoli casi o in più casi riguardanti lo stesso reato o la stessa minaccia alla sicurezza pubblica dovrebbero essere considerate nell’interesse legittimo perseguito dal titolare del trattamento. Tuttavia, tale trasmissione nell’interesse legittimo del titolare del trattamento o l’ulteriore trattamento dei dati personali dovrebbero essere vietati se il trattamento non è compatibile con un obbligo vincolante di segretezza, di natura giuridica, professionale o di altro genere”.

La posizione del Gruppo Articolo 29 sul concetto di interesse legittimo

La fonte interpretativa più rilevante resta il Parere del Gruppo Articolo 29 numero 6/2014, che specifica i concetti di interesse legittimo del titolare e fornisce dei criteri per valutare il bilanciamento con i diritti di interessati e terzi.

Sul concetto di interesse può riportarsi quanto segue.

Il concetto di “interesse” è strettamente correlato al concetto di “finalità” citato all’articolo 6 della direttiva, pur distinguendosene. In materia di protezione dei dati, per “finalità” si intendono il motivo specifico per cui si trattano i dati: l’obiettivo o lo scopo del trattamento dei dati. Un interesse, invece, è l’interesse più ampio che un responsabile può avere nel trattamento oppure il beneficio che il responsabile trae (o che potrebbe trarre la società) dal trattamento. Per esempio, un’azienda potrebbe avere un interesse a tutelare la salute e la sicurezza del personale che lavora presso il suo impianto nucleare. Relativamente a questo aspetto, la finalità dell’impresa potrebbe essere l’attuazione di determinate procedure di controllo dell’accesso che giustifica il trattamento di taluni dati personali specifici al fine di contribuire a tutelare la salute e la sicurezza del personale. Un interesse deve essere articolato in maniera sufficientemente chiara da consentire di eseguire il test comparativo valutando l’interesse legittimo del responsabile del trattamento rispetto agli interessi e ai diritti fondamentali dell’interessato. Inoltre, l’interesse in questione deve anche essere “perseguito dal responsabile del trattamento”.

A tal fine l’interesse deve essere concreto ed effettivo, qualcosa che corrisponda alle attività in corso o ai benefici previsti nell’immediato futuro. In altre parole, gli interessi che sono troppo vaghi o teorici non saranno sufficienti.

Gli esempi pratici di interesse legittimo

La natura dell’interesse può variare. Alcuni interessi possono essere preminenti e vantaggiosi per la società in generale, quali ad esempio l’interesse della stampa a pubblicare informazioni sulla corruzione governativa o l’interesse a svolgere ricerca scientifica (fatte salve garanzie adeguate).

Altri interessi possono essere meno preminenti per la società nel suo complesso o, in ogni caso, l’impatto del loro perseguimento sulla società potrebbe essere più eterogeneo o controverso. Questa situazione potrebbe verificarsi, per esempio, nel caso di un’impresa il cui interesse economico è venire a conoscenza del maggior numero possibile di informazioni sui suoi potenziali clienti al fine di pubblicizzare in maniera più mirata i suoi prodotti o servizi. Che cosa rende un interesse “legittimo” o “illegittimo”? L’obiettivo di questa domanda è individuare la soglia di ciò che costituisce un interesse legittimo. Se l’interesse del responsabile del trattamento dei dati è illegittimo, il test comparativo non sarà effettuato poiché non sarà stata raggiunta la soglia iniziale per l’utilizzo dell’articolo 7, lettera f). A parere del Gruppo di lavoro, il concetto di interesse legittimo potrebbe comprendere un’ampia serie di interessi, sia di scarso rilievo che decisamente preminenti, evidenti oppure più controversi. Sarà poi in una seconda fase, quando si tratterà di valutare questi interessi rispetto agli interessi e ai diritti fondamentali degli interessati, che occorrerà adottare un approccio più restrittivo ed effettuare un’analisi più sostanziale.

Di seguito è riportato un elenco non esaustivo di alcuni degli ambiti più comuni in cui può porsi la questione dell’interesse legittimo ai sensi dell’articolo 7, lettera f). È presentato lasciando impregiudicata la possibilità che gli interessi del responsabile del trattamento prevalgano in ultima analisi sugli interessi e sui diritti degli interessati al momento dell’esecuzione del test comparativo.

Esercizio del diritto alla libertà di espressione e d’informazione, anche nei mezzi di comunicazione e di espressione artistica

commercializzazione diretta tradizionale e altre forme di commercializzazione o pubblicità

messaggi indesiderati non commerciali, anche a fini di campagne politiche o di raccolta fondi per scopi benefici

esercizio di un diritto in via giudiziale, compreso il recupero del credito tramite procedure extragiudiziali

prevenzione di frodi, uso improprio dei servizi o riciclaggio di denaro

controllo del personale a fini di sicurezza o gestione

• procedure per la denuncia delle irregolarità

sicurezza fisica, sicurezza informatica e sicurezza della rete

• trattamento di dati a scopi statistici o di ricerca storica o scientifica

• trattamento a scopi di ricerca (compresa la ricerca a fini commerciali) Di conseguenza, un interesse può essere considerato legittimo nella misura in cui il responsabile del trattamento può perseguire tale interesse secondo modalità che sono 30 conformi alla legislazione in materia di protezione dei dati e ad altre normative. In altre parole, un interesse legittimo deve essere “ammesso dalla legge ” (Gruppo di Lavoro Articolo 29, Parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE, pagg. 28-29. Il fatto che il parere si riferisca alla normativa precedente chiarisce anche la ragione per cui il riferimento è all’articolo 7 e non 6).

La natura legittima dell’interesse

Sulla natura legittima dell’interesse, il Gruppo di Lavoro si sofferma in modo estremamente esaustivo, quasi preconizzando quanto sarebbe avvenuto in seguito, nel contesto della casistica che a breve si andrà a riportare e commentare.

“Il fatto che il responsabile del trattamento abbia tale interesse legittimo nel trattamento di determinati dati non significa che possa necessariamente invocare l’articolo 7, lettera f), come fondamento giuridico per il trattamento. La legittimità dell’interesse del responsabile del trattamento dei dati è solo un punto di partenza, uno degli elementi che devono essere analizzati ai sensi dell’articolo 7, lettera f). La possibilità di invocare l’articolo 7, lettera f), dipenderà dall’esito del test comparativo che segue. A titolo di esempio, i responsabili del trattamento possono avere un interesse legittimo a conoscere le preferenze dei loro clienti per poter personalizzare meglio le loro offerte e, in definitiva, offrire prodotti e servizi in grado di soddisfare meglio le esigenze e i desideri dei clienti. Alla luce di questa considerazione, l’articolo 7, lettera f), potrebbe essere un fondamento giuridico adeguato da utilizzare per alcuni tipi di attività di commercializzazione, sia online che offline, purché sussistano adeguate garanzie (compreso, fra l’altro, un meccanismo efficace che permetta di opporsi a tale trattamento ai sensi dell’articolo 14, lettera b), come sarà illustrato nella sezione III.3.6 Il diritto di opposizione e oltre). Tuttavia, questo non significa che i responsabili del trattamento potranno avvalersi dell’articolo 7, lettera f), per controllare indebitamente le attività online o offline dei loro clienti, combinare grandi quantitativi di dati che li riguardano, dopo averli ricavati da varie fonti e averli inizialmente raccolti in altri contesti e per finalità differenti, e creare (e, ad esempio, grazie agli intermediari che forniscono dati, anche effettuare la compravendita di) profili complessi delle personalità e delle preferenze dei clienti a loro insaputa, senza un meccanismo efficace che permetta di opporsi al trattamento dei dati e tantomeno senza il loro consenso informato. È probabile che tale attività di profilazione costituisca una considerevole ingerenza nella vita privata del cliente e, in tal caso, sull’interesse del responsabile del trattamento prevarrebbero gli interessi e i diritti dell’interessato.

Il parere sul trattamento dei dati personali da parte della Società per le telecomunicazioni finanziarie interbancarie mondiali (SWIFT) contiene un ulteriore esempio: pur avendo riconosciuto l’interesse legittimo della società a soddisfare le richieste ufficiali a norma del diritto statunitense, per evitare il rischio di farsi infliggere sanzioni da parte delle autorità degli USA, il Gruppo di lavoro ha stabilito l’impossibilità di avvalersi dell’articolo 7, lettera f), come fondamento giuridico.

Il Gruppo di lavoro ha ritenuto in particolare che, a causa degli effetti a lungo raggio che potrebbe avere sugli individui il trattamento dei dati effettuato “nascostamente, sistematicamente, in grandi proporzioni e nel lungo periodo”, “gli interessi ed i diritti e libertà fondamentali dei numerosi individui ai quali si riferiscono i dati prevalgano sull’interesse della SWIFT di non farsi infliggere sanzioni dagli USA per non aver eventualmente soddisfatto le sue richieste ufficiali”. Come sarà illustrato più avanti, se l’interesse perseguito dal responsabile del trattamento non è preminente, è più probabile che l’interesse e i diritti dell’interessato prevalgano rispetto al legittimo, ma meno importante, interesse del responsabile del trattamento. Al contempo, questo non significa che l’interesse meno preminente del responsabile del trattamento non possa talvolta prevalere rispetto agli interessi e ai diritti degli interessati: in genere questa situazione si verifica quando anche l’impatto del trattamento sugli interessati è meno rilevante ” (Gruppo di Lavoro Articolo 29, Parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE, pagg. 30-31).

Il triplice test

La giurisprudenza della CGUE merita menzione, con particolare riferimento al paragrafo 28 della sentenza resa dalla Corte di Giustizia dell’Unione europea nella causa C 13/16 Rgas satiksmea, laddove si prescrive un “triplice test” per valutare la possibilità, per il titolare del trattamento di invocare il legittimo interesse quale base giuridica del trattamento.

“28 A tale riguardo, l’articolo 7, lettera f), della direttiva 95/46 prevede tre condizioni cumulative affinché un trattamento di dati personali sia lecito, vale a dire, in primo luogo, il perseguimento dell’interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, in secondo luogo, la necessità del trattamento dei dati personali per il perseguimento dell’interesse legittimo e, in terzo luogo, la condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata dalla tutela dei dati”.

La casistica più recente: il Garante privacy vs TikTok

Le valutazioni del Gruppo Articolo 29 ed il triplice test della sentenza della Corte di Giustizia dell’Unione europea C 13/16 Rgas satiksmea sono venute in rilevo di recente, allorché l’Autorità Garante per il Trattamento dei dati personali ha bloccato la profilazione indiscriminata a fini commerciali degli utenti del social network TikTok che, modificando la propria privacy policy, intendeva porre il legittimo interesse del titolare quale base giuridica per la profilazione degli utenti, di fatto bypassandone il consenso esplicito ed informato.

Il provvedimento del Garante privacy, numero 248 del 7 luglio 2022, doc. web n. 9788429, prendeva le mosse dal caso, riassunto nei seguenti termini.

“A partire dal mese di giugno 2022, il social network TikTok, ha annunciato la modifica della propria privacy policy, comunicando agli utenti, anche mediante specifici messaggi, l’intenzione di avviare, a far data dal successivo 13 luglio 2022, un’attività di fornitura di “pubblicità personalizzata … agli utenti dai 18 anni in su” consistente nel mostrare a questi “annunci personalizzati in base alla tua attività sull’app di TikTok”. Il trattamento si baserebbe, secondo quanto è possibile leggere nella privacy policy Tik Tok su “Informazioni che ci fornisci, Informazioni raccolte automaticamente e Informazioni da altre fonti, allo scopo di mostrare ai propri utenti “annunci che possano essere di loro interesse e per collegare gli inserzionisti con gli utenti che possano essere interessati ai loro prodotti o servizi”. Tali trattamenti di dati personali troverebbero, ad avviso della piattaforma, la propria base giuridica nel “legittimo interesse” di cui all’art. 6, par. 1, lett. f) del Regolamento, anziché nel consenso degli interessati ” (Autorità Garante per il Trattamento dei dati personali, provvedimento numero 248 del 7 luglio 2022, doc. web n. 9788429, paragrafo Il caso).

L’istruttoria del Garante è stata approfondita ed il social network di proprietà della società cinese ByteDance aveva anche collaborato, fornendo le evidenze dei risultati del test effettuato sulla base delle indicazioni del Gruppo di Lavoro articolo 29.

A fronte di tale prospettata modifica, l’Ufficio ha inviato in data 22 giugno 2022, una richiesta di informazioni a TikTok Italy. Nella richiesta è stato chiesto di poter conoscere:

  • la base giuridica legittimante l’attività di profilazione e le motivazioni sottostanti la sua scelta;
  • nel caso in cui questa fosse stata rinvenuta nel “legittimo interesse”, le valutazioni svolte dalla Società in relazione al c.d. triplice test così come enucleato dalla Corte di Giustizia dell’Unione europea nella sentenza C 13/16 Rgas Satiksmea;
  • se fosse stata effettuata una valutazione di impatto preliminare, ai sensi dell’art. 35 del GDPR e, in caso affermativo, di ricevere una copia della stessa;
  • le misure adottate al fine di verificare la maggior età anagrafica dell’utente i cui dati verranno trattati per finalità di pubblicità profilata, tenuto peraltro conto delle difficoltà, sino ad oggi irrisolte, nell’identificazione dei minori di anni 13 e 14 (limite d’età italiano ex art. 8, par. 1, secondo capoverso, del Regolamento).

TikTok ha fornito riscontro in data 30 giugno 2022 rappresentando preliminarmente, quanto alla base giuridica scelta per fornire pubblicità personalizzata, di trattare due diverse categorie di dati degli utenti:

  • dati ricavabili da attività su TikTok: informazioni raccolte direttamente dalle azioni dell’utente sulla piattaforma;
  • dati ricavabili da attività al di fuori di TikTok: informazioni ricevute da partner esterni operanti nel settore della pubblicità, della misurazione e dei dati, ottenute dall’attività dell’utente effettuata al di fuori della piattaforma.

La Società ha quindi precisato che tali trattamenti sono stati già svolti da TikTok e vengono tuttora svolti sulla base del consenso degli interessati, ai sensi dell’art. 6, par. 1, lettera a), del Regolamento. A partire dal 13 luglio p.v., i medesimi trattamenti per mostrare annunci personalizzati basati sui dati tratti dall’”Attività su TikTok”- per i soli utenti di età superiore ai 18 anni – troverebbero la base giuridica nei “legittimi interessi perseguiti da TikTok, dai suoi partner pubblicitari e dai suoi utenti ai sensi dell’art. 6, paragrafo 1, lettera f), del GDPR”. La Società afferma di aver effettuato tutte le valutazioni pertinenti in conformità al Regolamento, inclusa un’analisi di impatto, considerando:

“(i) se il trattamento di dati circa le attività di TikTok persegua i legittimi interessi di TikTok, dei suoi partner commerciali e dei suoi utenti;

(ii) se tali legittimi interessi non prevalgano sugli interessi o sui diritti e le libertà fondamentali degli interessati”.

A seguito di tale test, TikTok ha concluso che il bilanciamento è soddisfatto per le seguenti ragioni:

  • il trattamento è chiaramente spiegato agli utenti;
  • è improbabile che il trattamento abbia un impatto negativo sugli utenti o causi loro un danno;
  • gli utenti di età inferiore ai 18 anni sono esclusi dal trattamento;
  • TikTok facilita l’esercizio dei diritti degli interessati attraverso diverse funzioni e impostazioni della piattaforma.

Quanto, invece, alla base giuridica per le “Attività fuori da TikTok” non vi sarebbe alcuna modifica, per cui il social continuerà a basarsi sul consenso dell’utente ai sensi dell’art. 6, par. 1 lett. a), del GDPR.

TikTok ha poi evidenziato le informazioni fornite agli utenti in merito alla modifica della base giuridica, ricordando di aver pubblicato una informativa sulla privacy aggiornata che entrerà in vigore il 13 luglio. Inoltre, gli utenti sono stati informati degli aggiornamenti dell’informativa sulla privacy tramite un pop-up nell’app TikTok. Infine, quanto all’esercizio dei diritti dell’interessato, la sezione relativa agli interessi legittimi dell’informativa sulla privacy informa gli utenti del loro diritto di opporsi ai sensi dell’art. 21 del GDPR al ricevimento di pubblicità personalizzata.

In risposta alla richiesta sulle misure per verificare l’età degli utenti, la piattaforma, dopo aver ricordato che la modifica della base giuridica per il trattamento dei dati circa l’”Attività su TikTok” al fine di fornire pubblicità personalizzata, si applica solo agli utenti di età pari o superiore ai 18 anni, ha sottolineato di aver adottato processi e procedure tecniche e umane per verificare l’età degli utenti.

Inoltre, la piattaforma ha assicurato di avere in corso una collaborazione con gli esperti del settore e con l’autorità irlandese (in qualità di principale autorità di controllo di TikTok) per sviluppare e identificare modi innovativi per migliorare ulteriormente le misure di verifica dell’età in modo da bilanciare con successo i diritti e gli interessi degli utenti ” (Autorità Garante per il Trattamento dei dati personali, provvedimento numero 248 del 7 luglio 2022, doc. web n. 9788429, paragrafo L’istruttoria svolta).

L’excursus sul legittimo interesse del titolare

Al di là delle criticità emerse, – che hanno portato il Garante a bloccare in via preventiva il trattamento e TikTok a ritirare la nuova” privacy policy – il provvedimento è interessante per l’excursus sul legittimo interesse del titolare che reca nella parte motiva.

“Il riferimento al legittimo interesse, nel caso prospettato da TikTok, appare tuttavia problematico anche con riguardo a quanto previsto dal Regolamento. In primo luogo, sotto un profilo squisitamente metodologico, manca una valutazione in termini di elementi positivi, da parte di TikTok, in ordine alle circostanze che indurrebbero il titolare del trattamento a modificare il precedente assetto relativo alla base giuridica anche in assenza di modifiche sostanziali sulle modalità complessive di trattamento. Ciò depone per considerare la scelta di TikTok come meramente strumentale al perseguimento dei propri obiettivi, laddove la legittimità dei trattamenti appare solo essere un elemento di contorno, plasmabile a seconda delle esigenze. Sempre in termini generali, l’eventuale utilizzo della base giuridica del legittimo interesse va visto con estrema prudenza, essendo necessaria una preliminare e documentata (anche ai fini del rispetto dell’accountability) attività di ponderazione degli interessi in gioco. Sul punto le Linee guida del WP29 (“sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679” del 6 febbraio 2018) indicano una serie di elementi di cui occorre tener conto, nell’ambito del necessario balancing test (grado di dettaglio e granularità del profilo, esaustività dello stesso, impatto sull’interessato, presenza di garanzie finalizzate ad assicurare la correttezza e a mantenere l’esattezza del trattamento nonché a prevenire discriminazioni).

Il titolare dovrebbe, inoltre, tener conto dell’utilizzo futuro o delle successive possibili combinazioni di profili al fine di considerare la “solidità dell’impianto sotteso al trattamento” effettuato su tale presupposto. Vi è poi da considerare che anche il precedente parere del WP29 sul concetto di legittimo interesse (Parere 06/2014), seppure basato sull’art. 7 dell’abrogata direttiva 95/46/CE, riteneva difficile per il titolare del trattamento giustificare il ricorso al legittimo interesse come base legittima per pratiche intrusive di profilazione e tracciamento per finalità di marketing o pubblicità. Dirimente deve poi ritenersi quanto già chiarito dal WP29, ovvero che il legittimo interesse del titolare del trattamento non può rendere lecita la profilazione se il trattamento, come parrebbe essere quello effettuato da TikTok nella fattispecie in esame, rientra nella definizione di cui all’art. 22, par. 1 del Regolamento.

L’applicazione della base giuridica del legittimo interesse presuppone, ineludibilmente, la prevalenza in concreto (in base a un bilanciamento rimesso al titolare, ma sempre valutabile dall’Autorità di controllo) di quest’ultimo sui diritti, libertà e meri interessi degli interessati; prevalenza che, nel caso di TikTok, non pare proprio potersi ravvisare.

Peraltro, “il titolare del trattamento non può …. ricorrere retroattivamente alla base dell’interesse legittimo. Poiché ha l’obbligo di comunicare [nell’informativa rilasciata all’interessato] la base legittima al momento della raccolta dei dati personali, il titolare del trattamento deve aver deciso la base legittima prima della raccolta dei dati” (così vedi Linee guida del Gruppo Art. 29 sul consenso ai sensi del Regolamento (UE) 2016/679, 10 aprile 2018, WP 259 rev.01) e non può certo sopperirvi all’improvviso – peraltro, essendo rimasti sostanzialmente immutati i trattamenti effettuati – per ovviare al mancato consenso degli interessati o ad un consenso non validamente acquisito dai medesimi (vedasi provvedimento del Garante 15 gennaio 2020 n.7, doc. web n. 9256486). Vi è inoltre l’altissima probabilità che vengano trattati anche dati di carattere particolare, evincibili dal comportamento dell’utente durante la navigazione nella piattaforma e a tale riguardo nessuna informazione è fornita circa l’eventuale applicabilità di una delle ipotesi di cui all’art. 9, par. 2, del Regolamento. Infine, nel riscontro al Garante, TikTok propone un rinvio, che non può che apparire pretestuoso, ai “legittimi interessi […] perseguiti dai suoi Utenti” (cfr. pag. 2, cpv. 2 del riscontro) facendoli di fatto coincidere o comunque apparentemente sovrapponendoli con il legittimo interesse del titolare. Tale operazione logico-giuridica appare assai problematica e priva di precedenti, se si considera che l’Opinion n. 6/2014 (Linee guida del WP29 in materia di legittimo interesse), e più in generale i riferimenti normativi relativi al concetto di legittimo interesse, circoscrivono tale definizione a finalità proprie del titolare del trattamento che non possono essere strumentalmente traslate genericamente sugli interessati (cfr. Opinion 6/2014, pagg. 34 e ss.). Infine, non può non sottacersi che l’assenza di elementi certi per l’identificazione della persona maggiore di età, alla luce anche delle negative prove sin qui susseguitesi in ordine alla capacità di Tik Tok (al pari di altri social network) di effettuare tale valutazione, rischia di coinvolgere nella suddetta attività anche le persone minori di 18 anni, ma anche di anni 14, per i quali sarebbe necessario un consenso degli esercenti la responsabilità genitoriale e, in ipotesi anche dei minori di anni 13, per i quali l’accesso alla piattaforma sarebbe del tutto interdetto. Con riferimento a tali ulteriori profili, tuttavia, l’Autorità procederà ai necessari approfondimenti anche nell’ambito delle previste procedure di cooperazione, riservandosi, eventualmente anche l’adozione di ulteriori provvedimenti in via d’urgenza a tutela dei diritti di interessati utenti, in Italia, di TikTok i cui dati personali rischiano di essere trattati, a far data dal prossimo 13 luglio, illegittimamente” (Autorità Garante per il Trattamento dei dati personali, provvedimento numero 248 del 7 luglio 2022, doc. web n. 9788429, paragrafo Il legittimo interesse nel Regolamento).

Sul punto, chi scrive si richiama a quanto osservato a suo tempo.

“Il provvedimento del Garante è ben motivato e dimostra l’attenzione per il mondo dei social media.

La scelta di bloccare la modifica unilaterale TikTok della base giuridica è stata eccellente: l’alternativa era creare un precedente pericolosissimo per i diritti degli utenti online. Il legittimo interesse, infatti, è la base giuridica con più debole tutela dell’interessato, perché presuppone un bilanciamento – unilaterale – di interessi che determina una compressione dei diritti degli utenti in favore di un’attività svolta dal titolare del trattamento.

Il passaggio per via di informativa dal consenso dell’interessato al legittimo interesse avrebbe causato un effetto domino anche per altre piattaforme, che avrebbero potuto “beneficiare” del precedente per comprimere le tutele degli utenti e fare facile profitto con i dati degli utenti, utilizzando quelli già archiviati in modo indiscriminato e retroattivo. In altri termini: la piattaforma potrebbe aver archiviato dati dell’utente senza consenso e, con la semplice modifica della privacy policy, potrebbe utilizzarli lecitamente ed indiscriminatamente. La manovra del social cinese è stata, quindi, estremamente spregiudicata, specie se si considera che era già sotto la lente d’ingrandimento del Garante. Va detto che ci si devono aspettare anche altri “grandi colpi”: il Garante italiano ha “sparato”, in rapida successione, su Google e TikTok, ma non si può dire che i trattamenti effettuati da Meta o Microsoft siano del tutto privi delle problematiche fin qui emerse per questi due colossi.

Quanto a TikTok, dopo due provvedimenti di “blocco” d’urgenza da parte del Garante, è lecito ritenere che sian pronte anche le sanzioni, quelle vere: quelle, cioè, che arrivano fino al 4% del fatturato su base mondiale (ricordiamo la sanzione da 20 milioni di euro a ClearView AI ad inizio 2022) ”.

Altro provvedimento rilevante in materia di legittimo interesse del titolare è quello relativo al blocco temporaneo del trattamento dei dati da parte di OpenAI, la società che gestisce ChatGPT, ossia la app di intelligenza artificiale più famosa al mondo.

L’impiego dei big data per l’addestramento dell’intelligenza artificiale

Il provvedimento dell’Autorità Garante per il Trattamento dei dati personali del 30 marzo 2023, numero 112, doc. web n. 9870832, riportava la problematicità della base giuridica con riferimento all’impiego dei big data per l’addestramento dell’intelligenza artificiale nella parte motiva della decisione.

“Assenza di idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT ” (Autorità Garante per il Trattamento dei dati personali del 30 marzo 2023, numero 112, doc. web n. 9870832).

Sul punto veniva osservato quanto segue.

“Tema affrontato in modo rapido, ma veramente spinoso, infine, è quello dei big data di cui ChatGPT deve “nutrirsi” per essere efficacemente addestrata.

Il Garante ha rilevato “l’assenza di idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT”.

Questo nodo è cruciale, perché non si tratta di adeguare un filtro sull’età o di inviare agli utenti un’informativa ben scritta: il Garante afferma che OpenAI non può utilizzare i dati degli utenti italiani in modo indiscriminato per addestrare i suoi algoritmi. Assenza di base giuridica significa trattamento illecito: a queste condizioni non si può fare perché il GDPR lo vieta. La presa di posizione, quindi, è fortissima e si pone a tutela degli utenti, i cui dati, nell’impostazione de Garante, non possono formare la base di studio di ChatGPT in modo indiscriminato. In conclusione, siamo di fronte ad un precedente che, se confermato, avrà lo stesso impatto delle sentenze Schrems ”.

Con successivo comunicato stampa del 28 aprile 2023, il Garante dava notizia della revoca del provvedimento citato in precedenza, anche in ragione dei chiarimenti forniti da OpenAI sulla base giuridica del trattamento.

“(OpenAI) ha chiarito, nell’informativa riservata agli utenti, che mentre continuerà a trattare taluni dati personali per garantire il corretto funzionamento del servizio sulla base del contratto, tratterà i loro dati personali ai fini dell’addestramento degli algoritmi, salvo che esercitino il diritto di opposizione, sulla base del legittimo interesse”.

Il passaggio di maggior rilevo è relativo al fatto che il Garante ha sostanzialmente “costretto” OpenAI ad ammettere che l’addestramento dell’intelligenza artificiale per mezzo di big data deve avere quale base giuridica il legittimo interesse del titolare, con tutte le implicazioni – triplice test, DPIA etc.- per il titolare del trattamento del caso.

Resta un tema sottotraccia- e, qui, off topic -: il fatto che le big tech siano prevalentemente straniere e statunitensi in particolare; in altra sede, sarebbe opportuno valutare le implicazioni, sotto ogni aspetto, della carenza di investimenti in ricerca e sviluppo con riferimento alle tecnologie innovative.

Esempi di situazioni in cui il legittimo interesse può essere invocato

Il titolare del trattamento, per esempio, può invocare il legittimo interesse quando il trattamento avviene all’interno di una relazione con il cliente, quando si trattano dati personali per scopi di marketing diretto, per prevenire frodi o per garantire la sicurezza della rete e dei dati dei sistemi informatici dell’azienda.

In generale, da quanto si può evincere dalla casistica riportata in precedenza, si può affermare che il legittimo interesse può essere invocato ogniqualvolta il titolare ha la necessità, meritevole di tutela, di trattare dati personali e non è possibile far riferimento ad altre basi giuridiche in astratto.

Limiti e salvaguardie del legittimo interesse nel GDPR

Sempre dalla casistica riportata in precedenza risulta chiaro che il legittimo interesse non può essere utilizzato come alternativa alla base giuridica astrattamente idonea a garantire i diritti dell’interessato nel caso concreto.

Per quanto residuale, infatti, il legittimo interesse del titolare è un condizione di liceità che può essere invocata non per evitare, ad esempio, di ottenere il consenso dell’interessato, ma solo nelle ipotesi in cui sia effettivamente ravvisabile e necessario.

Ruolo del Responsabile del trattamento nel valutare e applicare il legittimo interesse

Il titolare del trattamento deve, sempre, individuare la base giuridica a cui fare riferimento in ogni ipotesi di trattamento che effettua.

Questa regola generale, impostata dal GDPR, vale, a maggior ragione, anche per il legittimo interesse del titolare.

I criteri per l’individuazione del legittimo interesse sono, come visto in precedenza, stati enucleati sia dal WP29 che della CGUE.

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2