Il Regolamento generale sulla protezione dei datiGDPR) delinea sei basi giuridiche per la raccolta e il trattamento dei dati personali, una delle quali è il legittimo interesse.
Di seguito, descrivo che cos'è il legittimo interesse ai sensi del GDPR, come funziona e quando utilizzarlo, e fornisco esempi per aiutare la vostra azienda a comprendere meglio questo requisito legale.
- Che cos'è l'interesse legittimo ai sensi del GDPR?
- Come dichiarare gli interessi legittimi ai sensi del GDPR
- Conduzione di una valutazione dell'interesse legittimo (LIA) GDPR
- Esempi di interessi legittimi per le aziende
- Il trattamento basato sull'interesse legittimo GDPR si applica a voi?
- Consenso GDPR vs interesse legittimo
- Riassunto
Che cos'è l'interesse legittimo ai sensi del GDPR?
Ai sensi del GDPR, il legittimo interesse è una delle basi giuridiche per il trattamento dei dati personali. Esso figura all' articolo 6, Liceità del trattamento, e afferma quanto segue:
"l'elaborazione è necessaria per fini di un legittimo interesseinteresses perseguiti dal titolare del trattamento o da terzi , salvo che su tali interessi prevalgano gli interessi o i diritti e le libertà fondamentali della persona interessata che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore".
Ciò significa che la vostra azienda può trattare i dati personali senza ottenere il consenso esplicito dei consumatori solo se ha un motivo genuino e giustificabile e se non è possibile applicare nessun'altra base giuridica per la determinata attività di trattamento.
Si riferisce letteralmente a qualsiasi interesse che vada a vantaggio di una o più parti coinvolte nel trattamento dei dati, e può essere personale, commerciale o persino sociale.
Ad esempio, le entità potrebbero utilizzarlo per elaborare i dati al fine di prevenire frodi o furti di identità o per garantire il corretto funzionamento di un sistema di sicurezza.
Tuttavia, il trattamento non può violare i diritti alla privacy dei consumatori.
l'obiettivo è quello di consentire alle aziende di trattare i dati secondo modalità che una persona potrebbe ragionevolmente aspettarsi, pur bilanciando e rispettando i diritti dell'interessato, il che sembra abbastanza semplice.
Tuttavia, secondo la mia esperienza di professionista della privacy, questa è una delle basi legali più complesse, perché l'onere della prova è a carico dell'azienda.
Se un'autorità di vigilanza ritiene insufficiente la motivazione, potrebbe chiedervi di interrompere il trattamento o rischiare di incorrere in multe per non conformità.
Cosa non è un interesse legittimo ai sensi del GDPR?
l'articolo 6 del GDPR stabilisce che il trattamento dei dati può essere considerato un interesse legittimo,
"...salvo che su tali interessi prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato. diritti e libertà fondamentali dell'interessato."
Ciò significa che il trattamento non può essere considerato un interesse legittimo se ostacola i diritti e le libertà delle persone a cui appartengono i dati personali.
Trattandosi di una definizione così ampia e soggetta a interpretazione, rende più difficile per le aziende dimostrare legalmente l'interesse legittimo.
Come dichiarare gli interessi legittimi ai sensi del GDPR
Per dichiarare legittimamente gli interessi legittimi come base per il trattamento dei dati, dovete informare i consumatori nella vostra informativa sulla privacy GDPR e descrivere chiaramente quali sono questi interessi.
Dovete essere il più specifici possibile sui vostri interessi legittimi e sul modo in cui le vostre attività di trattamento dei dati sono al servizio degli utenti, altrimenti le autorità di vigilanza potrebbero considerare il vostro ragionamento una violazione della legge.
Conduzione di una valutazione dell'interesse legittimo (LIA) GDPR
Per aiutarvi a determinare come gli interessi legittimi possano applicarsi alle vostre pratiche di raccolta dei dati, vi illustrerò i passaggi per condurre una valutazione degli interessi legittimi GDPR .
La valutazione dell'interesse legittimo GDPR o LIA è un test in tre parti che determina se l'interesse legittimo si applica a una determinata situazione di trattamento dei dati, come raccomandato dall'Information Commissioner's Office (ICO) del Regno Unito.
Contiene quanto segue:
- Il Purpose Test valuta se state perseguendo interessi legittimi nel trattamento dei dati.
- Il test di necessità dimostra che il trattamento dei dati è necessario per raggiungere lo scopo dichiarato.
- Il test di bilanciamento dimostra che tale interesse legittimo non viola i diritti o gli interessi degli interessati.
Scopo Test
Il test delle finalità intende identificare se avete un interesse legittimo nel trattamento dei dati.
Per iniziare, individuate le finalità del trattamento dei dati e valutate se si tratta di un interesse legittimo ponendovi le seguenti domande:
- Perché volete trattare i dati degli utenti?
- Chi beneficia del trattamento dei dati e in che modo?
- Cosa succederebbe se non si procedesse all'elaborazione dei dati?
- Siete conformi alle altre leggi sulla privacy dei dati e agli standard del settore?
- Esistono potenziali problemi etici legati al trattamento?
- Il trattamento ostacola i diritti degli utenti?
- l'interessato si aspetta tale trattamento?
- Il trattamento ha una funzione importante o vantaggiosa per la società (ad esempio, prevenzione delle frodi, sicurezza, ricerca, ecc.)
- Un soggetto interessato considererebbe il trattamento ragionevole e proporzionato?
un'azienda che si occupa di prevenire le frodi finanziarie, ad esempio, potrebbe dichiarare di voler elaborare i dati di acquisto degli utenti per individuare eventuali frodi; ciò va a vantaggio del consumatore e può essere eseguito nel rispetto delle leggi sulla privacy, senza impedire alcun diritto.
Assicuratevi di tenere traccia delle vostre risposte, perché in questo modo sarà più facile completare la vostra informativa sulla privacy (un requisito essenziale del GDPR) e dimostrare che il vostro interesse legittimo è legalmente valido, qualora dovesse verificarsi un controllo sulla privacy.
Test di necessità
Lo scopo del test di necessità è quello di determinare se il trattamento dei dati è effettivamente una componente essenziale e inevitabile per raggiungere la finalità legittima prevista.
Per determinarlo, è utile rispondere alle seguenti domande e, come per il Test dello Scopo, tenerne traccia:
- Il trattamento dei dati vi aiuterà effettivamente a raggiungere il vostro scopo dichiarato?
- Il livello di trattamento dei dati è proporzionato alle finalità dichiarate?
- Esistono alternative meno invasive per raggiungere il vostro scopo?
- Lo stesso obiettivo può essere raggiunto senza trattare dati personali o trattando una quantità minore di dati?
- La portata del trattamento dei dati è proporzionata al beneficio che si intende ottenere?
- Esistono garanzie che potrebbero ridurre la necessità di alcuni tipi di trattamento?
- Il trattamento riguarda dati sensibili (dati di categoria speciale) o dati di bambini? In caso affermativo, esiste un motivo valido per il trattamento?
Ad esempio, se utilizzate piattaforme di terze parti come Google Analytics per monitorare il traffico e l'impegno, potreste essere in grado di raggiungere lo stesso scopo analitico raccogliendo dati aggregati piuttosto che i dati dei singoli utenti.
In tal caso, il trattamento non sarebbe necessario, quindi non dovreste utilizzare il legittimo interesse come base giuridica.
Test di bilanciamento
Infine, il test di bilanciamento valuta se gli interessi e i diritti fondamentali dei consumatori prevalgono sugli interessi legittimi dell'azienda.
Per aiutarvi a determinarlo, rispondete alle seguenti domande:
- Trattate qualche tipo di dati personali sensibili?
- Trattate i dati di bambini o minori?
- Gli utenti si aspetterebbero ragionevolmente che voi utilizziate i loro dati per gli scopi dichiarati?
- Che impatto ha il vostro trattamento dei dati sulle persone?
- Il trattamento crea rischi di danno, disagio o discriminazione per le persone?
- È probabile che gli interessati si oppongano al trattamento e, in caso affermativo, perché?
- Avete implementato garanzie sufficienti per proteggere i diritti e le libertà degli interessati? (ad esempio, anonimizzazione, pseudonimizzazione, crittografia, opt-out, misure di trasparenza, ecc.)
- Gli interessati possono esercitare facilmente i loro diritti (ad esempio, diritto di opposizione, diritto alla cancellazione, diritto di accesso)?
- Una persona ragionevole considererebbe il trattamento dei dati giustificato alla luce del suo potenziale impatto?
Per far pendere l'ago della bilancia a vostro favore e citare l'interesse legittimo per le vostre attività di trattamento dei dati, implementate misure di sicurezza adeguate per proteggere i dati personali degli utenti e siate trasparenti sulle vostre pratiche di raccolta dei dati.
È una buona pratica condurre questa LIA se necessario, in modo da poter dimostrare che i vostri interessi legittimi sono validi ai sensi del GDPR.
Esempi di interessi legittimi per le aziende
Secondo i considerando 47 e 48 del GDPR, vi sono alcune situazioni in cui potrebbe essere applicato il legittimo interesse, tra cui:
- Rilevamento delle frodi e prevenzione dei reati
- Sicurezza delle reti e delle informazioni
- Trattamento dei dati dei dipendenti o dei clienti all'interno di un gruppo di imprese
- Marketing diretto
Per aiutarvi a comprendere meglio questi casi, ho raccolto alcuni esempi qui di seguito.
Rilevazione delle frodi e prevenzione del crimine
Il trattamento dei dati ai fini dell'individuazione delle frodi e della prevenzione dei reati supera in genere il test della finalità, lasciando che i test della necessità e del bilanciamento siano considerati per casi specifici.
In questo caso, nella vostra informativa sulla privacy dovrete spiegare come il trattamento dei dati degli utenti contribuisca direttamente all'individuazione e alla prevenzione delle frodi.
Sicurezza delle reti e delle informazioni
Secondo l'introduzione del Considerando 49 del GDPR, un interesse legittimo prevalente è:
" Il trattamento dei dati personali nella misura strettamente necessaria e proporzionata per garantire la sicurezza della rete e delle informazioni."
Poiché tutti i proprietari di aziende devono monitorare e mantenere diligentemente la sicurezza delle loro piattaforme, il trattamento dei dati personali sulla base di interessi legittimi potrebbe essere necessario per le indagini sulle violazioni dei dati o per prevenire l'accesso non autorizzato a una rete.
Il considerando 49 cita anche direttamente i casi di prevenzione della distribuzione di codice maligno e di arresto degli attacchi DDoS (Distributed Denial of Service).
Trattamento dei dati dei dipendenti e dei clienti
Gli interessi legittimi per il trattamento dei dati dei dipendenti e dei clienti sono trattati nel considerando 48, che stabilisce che:
"Tali interessi legittimi potrebbero sussistere, ad esempio, quando esiste un rapporto pertinente e relazione pertinente e appropriata tra la persona interessata e il responsabile del trattamento in situazioni..."
I casi in cui si applica l'interesse legittimo per il trattamento dei dati dei dipendenti e dei clienti includono:
- Controlli di base
- Gestione delle emergenze
- Registrazioni delle chiamate al servizio clienti ai fini della gestione della qualità.
Una politica sulla privacy conforme, in questo caso, includerebbe la base giuridica pertinente per ogni finalità dichiarata per il trattamento dei dati, come la comunicazione corretta con i candidati e la garanzia di assunzione del dipendente appropriato.
l'interesse legittimo si applica anche al trattamento dei dati dei clienti, che può essere necessario per fornire i servizi aziendali, dalla consulenza aziendale alla modellazione del portafoglio di investimento.
Interessi legittimi nel marketing diretto
Secondo una parte del Considerando 47 del GDPR,
"...il trattamento dei dati personali per finalità di marketing diretto può essere considerato come effettuato per un interesse legittimo."
Il marketing via e-mail e il marketing B2B possono essere motivi legalmente validi per il trattamento dei dati, a condizione che tali attività siano basate su un interesse legittimo o sul consenso, in particolare quando si ha già un rapporto commerciale con gli interessati.
Tuttavia, è necessario verificare la legislazione nazionale dei Paesi in cui si desidera operare, poiché queste regole possono differire in base a misure aggiuntive implementate a livello nazionale.
Se ciò si applica alla vostra azienda, deve essere chiaramente indicato nella vostra informativa sulla privacy, insieme a una descrizione dei diritti degli interessati in materia di marketing diretto ai sensi del GDPR.
In particolare, le persone interessate hanno il diritto di essere rimosse dal marketing diretto e la vostra azienda deve soddisfare queste richieste, altrimenti rischiate di essere sanzionati per violazione della legge.
Monitoraggio dei dipendenti
Ai sensi del GDPR , il monitoraggio dei dipendenti può essere incluso come interesse legittimo in situazioni molto specifiche, in cui viene mantenuto un equilibrio tra le esigenze aziendali e i diritti alla privacy dei dipendenti.
Ad esempio, un datore di lavoro potrebbe aver bisogno di accedere ai dati dei dipendenti per i seguenti motivi:
- Proteggere il patrimonio aziendale
- Mantenimento e manutenzione delle operazioni
- Garantire la conformità alle politiche aziendali e legali
- Prevenire le violazioni della sicurezza
- Salvaguardare la proprietà intellettuale
Tutte queste informazioni devono essere inserite in un'informativa sulla privacy da presentare ai dipendenti.
Recupero crediti
Anche il recupero crediti può essere considerato un interesse legittimo ai sensi del GDPR , se l'azienda è in grado di dimostrare che il trattamento dei dati è essenziale e non viola i diritti alla privacy delle persone.
Tuttavia, un'azienda può riscuotere i crediti che le sono dovuti e utilizzare i dati personali per facilitare questo processo se può dimostrare che il trattamento è equilibrato e necessario.
Deve inoltre essere chiaramente divulgato e spiegato nella vostra informativa sulla privacy conforme alGDPR .
Il trattamento basato sull'interesse legittimo GDPR si applica a voi?
È importante scegliere una base giuridica per il trattamento dei dati che sia legittima, applicabile e dimostrabile, e l'onere della prova spetta esclusivamente all'azienda.
Per aiutarvi a determinare se il trattamento dei dati basato sul legittimo interesse previsto GDPR si applica a voi, ho raccolto due domande da considerare.
Il legittimo interesse è la base più appropriata per le vostre attività di trattamento dei dati?
Se intendete invocare il legittimo interesse ai sensi del GDPR, dovete essere in grado di dimostrare che non esistono altre basi giuridiche più appropriate per le vostre attività di trattamento dei dati.
Fate molta attenzione, perché le multe per mancata conformità ai sensi del GDPR possono raggiungere il 4% del fatturato annuo lordo o 20 milioni di euro (21 milioni di dollari), a seconda del valore più alto.
I dati saranno trattati in modo da soddisfare le ragionevoli aspettative degli utenti?
È inoltre importante che la vostra azienda possa dimostrare che le attività di trattamento dei dati vengono svolte in modo da soddisfare le ragionevoli aspettative dei vostri utenti.
Secondo il GDPR, gli interessati hanno il diritto di avere il controllo dei propri dati personali e di come vengono utilizzati.
Ciò significa che il trattamento dei dati in modi che gli utenti non si aspettano potrebbe violare il GDPR, anche se non si chiariscono espressamente i diritti degli utenti sui loro dati.
Nella vostra informativa sulla privacy dovete usare un linguaggio chiaro ed evitare un gergo complesso o il legalese per garantire che gli utenti capiscano come trattate i loro dati.
Consenso GDPR vs interesse legittimo
Ai sensi del GDPR, è possibile trattare i dati personali senza il consenso dell'utente se il trattamento si basa su altre basi giuridiche precedentemente menzionate.
Tuttavia, il trattamento dei dati basato sul consenso è molto più facile da dimostrare perché richiede l'ottenimento di un consenso affermativo e facoltativo da parte dell'interessato, senza che sia necessario determinare la necessità del trattamento.
Se trattate i dati personali sulla base del consenso, dovete anche fornire agli utenti opzioni di opt-out in modo che possano revocare facilmente il loro consenso, come richiesto dal GDPR.
Per ottenere il consenso è possibile utilizzare risorse come la gestione del consenso platform CMP).
Le soluzioni per il consenso vi aiutano anche a dimostrare più facilmente che avete ottenuto il consenso legale dagli interessati e che state fornendo loro un mezzo per cambiare idea in qualsiasi momento.
Se state trattando dati e non siete sicuri che le vostre finalità soddisfino gli standard di necessità degli interessi legittimi, ottenere il consenso è l'opzione più sicura per la conformità al GDPR .
Riassunto
Ai sensi del GDPR, il trattamento dei dati basato sul legittimo interesse è un processo complesso.
l'azienda deve eseguire una valutazione del legittimo interesse ai sensi GDPR per determinare se le finalità e il trattamento sono necessari, equilibrati e in linea con la legge.
Tuttavia, poiché questa base giuridica è soggetta a diverse interpretazioni e l'onere della prova ricade sulla vostra azienda, dovete assicurarvi di essere certi di citare il legittimo interesse nella vostra informativa sulla privacy.
Per saperne di più su chi scrive
Scritto da Natasha Piirainen
Natasha è una Content Specialist con oltre 10 anni di esperienzaprofessionale nello sviluppo di contenutibasati sulla ricerca . Si è laureata in inglese e filosofia al Wheaton College. In Termly sioccupa di privacy dei dati e di gestione del consenso best practice gestione del consenso edè responsabile della manutenzione e dell'aggiornamento di materialecompleto sulla privacy dei dati .
Per saperne di più su chi scrive
Recensione di Teodor Stanciu, CIPP/E, CIPM Coordinatore legale e DPO
