La tutela del “legittimo interesse del titolare” in assenza del

Proprio con riguardo alla contrapposizione tra la tutela dell’interessato e la tutela del titolare del trattamento, il Regolamento n. 679 del 2016 attribuisce nuovo rilievo al concetto di “legittimo interesse” del titolare.

Il GDPR, in particolare, gli conferisce autonoma valenza legittimante rispetto al trattamento, almeno qualora “non prevalgano gli interessi o i

diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore” (art. 6, comma

1, lett. f)).

131 _{Da ultimo, cfr. Cass. civ., sez. II, 04 luglio 2017 n. 16404, in CED Cass., 2017, secondo la} quale «Il recesso unilaterale attribuito dalla legge al committente può - in realtà - anche essere

giustificato dalla sfiducia verso l'appaltatore per fatti di inadempimento, ma, poiché costituisce esercizio di un dritto potestativo e non esige, perciò, che ricorra una giusta causa, mediante esso il contratto si scioglie senza necessità di indagini sulla importanza e gravità dell'inadempimento, le quali sono rilevanti soltanto quando il committente abbia preteso anche il risarcimento del danno dall'appaltatore per l'inadempimento in cui questi fosse già incorso al momento del recesso». Cfr. anche Cass. civ., sez. II, 27 gennaio 2017, 2130, in CED Cass.,

2017; Cass. civ., sez. II, 02 maggio 2011, n. 9645, con nota di GENNARI, in Obbl. e Contr., 2011, 10, pp. 702 ss..

53

In precedenza, il d.lgs. 196/2003, all’art. 24, si limitava ad individuare, tra i casi in cui il consenso non era necessario ai fini del trattamento, se non per la diffusione dei dati, quelli espressamente “individuati dal Garante sulla

base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all’attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato”.

L’ambito del “legittimo interesse” del titolare, dunque, era stato fortemente limitato dalla scelta del legislatore nazionale, peraltro di dubbia compatibilità con la direttiva, di condizionarne l’applicazione a decisioni preventive e puntuali del Garante132_.

Al contrario, il Regolamento rimette la valutazione sull’esistenza di un legittimo interesse alla discrezionalità (e, quindi, anche all’auto- responsabilità) del titolare del trattamento, senza relegarla ad un ruolo residuale e di chiusura133.

Secondo alcuni, possono essere considerati legittimi interessi non solo quelli attinenti alla difesa della propria sfera giuridica, ma anche quelli di natura commerciale, come ad esempio quello di un’impresa a informare i propri clienti delle promozioni o dei nuovi prodotti e servizi disponibili, come si evince dal considerando n. 47 del Regolamento.

In questa parte, il testo comunitario recita “Ad esempio, potrebbero

sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l'interessato e il titolare del trattamento, ad esempio quando l'interessato è un cliente o è alle dipendenze del titolare del trattamento […]. Costituisce parimenti legittimo interesse del titolare del trattamento

132 _{Per alcune considerazioni a riguardo cfr. FONDERICO G., La regolamentazione} amministrativa del trattamento dei dati personali, in Giornale di dir. amm., 4, 2018, p. 420. 133 _{Per un’interpretazione restrittiva della clausola, cfr. F. F}

ERRETTI, Data protection and the

legitimate interest of data controllers: much ado about nothing or the winter of rights?, in CML Rev., 2014, pp. 843 ss..

54

interessato trattare dati personali strettamente necessari a fini di prevenzione delle frodi. Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.

Al contrario, dalla nozione di legittimo interesse sono da escludere le singole ipotesi previste dalle altre “lettere” di cui al comma 1 dell’art. 6, tra le quali, oltre al consenso del titolare per la specifica finalità (lett. a), figurano anche l’esecuzione di un contratto di cui l’interessato è parte (lett. b), la necessarietà del trattamento per l’adempimento di un obbligo legale (lett. c), ovvero per la salvaguardia degli interessi vitali dell’interessato o di altra persona fisica (lett. d), per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui il titolare del trattamento è investito (lett. e).

In ogni caso, a differenza delle altre ipotesi in cui il trattamento possa considerarsi lecito, prima fra tutte quella che ricorre in presenza del consenso interessato per una finalità determinata, la base giuridica del legittimo interesse pretende un bilanciamento con gli interessi, i diritti e le libertà fondamentali degli interessati, che non devono essere “prevalenti” rispetto all’interesse del titolare.

Lo stesso considerando n. 47, infatti, specifica che “In ogni caso,

l'esistenza di legittimi interessi richiede un'attenta valutazione anche in merito all'eventualità che l'interessato, al momento e nell'ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine. Gli interessi e i diritti fondamentali dell'interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali”.

Dunque, da un lato, l’art. 6 si riferisce al bilanciamento con “gli

interessi o i diritti e le libertà fondamentali” dell’interessato, mentre il

55

valutazione circa la ragionevole prevedibilità, da parte di questi, del trattamento effettivamente realizzato.

In ogni caso, non solo è fatto salvo il controllo ex post del Garante, eventualmente anche su segnalazione dell’interessato, ma la norma richiede che il trattamento sia “necessario”. Pertanto, dovrà farsi una valutazione in merito alla necessità dello stesso, oltre che un giudizio in termini di adeguatezza e di stretta proporzionalità.

Alcuni Autori hanno precisato che il vaglio in ordine alla stretta proporzionalità “va pur sempre condotto verificando se l’eventuale sacrificio

dell’interessato sia da ritenersi oggettivamente accettabile, tenendo conto dell’interesse sotteso alla circolazione del dato (e non viceversa)”134_.

Peraltro, si è osservato come la riformulazione dell’ipotesi legittimante il trattamento sia da ricondurre alla generale ottica di auto- responsabilizzazione del titolare adottata dal Regolamento135_.

Oltre agli obblighi di accountability, che impongono al titolare del trattamento di adottare misure tecniche e organizzative in grado di provare e dimostrare la conformità al regolamento, lo stesso è tenuto anche ad altri incombenti, come alla preventiva e specifica informativa all’interessato circa il trattamento (artt. 13 e 14), nonché a farne menzione nel registro dei trattamenti (ex art. 30) ed oggetto di specifica considerazione nella valutazione d’impatto (ex art. 35, par. 7)136_.

134 _{Per un recente approfondimento in materia cfr. F. BRAVO, Il “diritto” a trattare i dati} personali nello svolgimento dell’attività economica, Cedam, Padova, 2018.

135 _{F. B}

RAVO, Il “diritto” a trattare i dati personali nello svolgimento dell’attività economica, cit., p. 217.

136 _{In Italia, con una norma dai problematici risvolti pratici che riavvicina il sistema a quello} precedente rispetto al Regolamento, è intervenuta in materia la legge delega 27 dicembre 2017 n. 205, Bilancio di previsione dello Stato per l’anno finanziario 2018 e bilancio pluriennale per il triennio 2018-2020, che all’art. 1, comma 1022 prevede che “Il titolare di dati personali,

individuato ai sensi dell’articolo 4, numero 7), del regolamento RGPD, ove effettui un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati, deve darne tempestiva comunicazione al Garante per la protezione dei dati personali. A tale fine, prima di procedere al trattamento, il titolare dei dati invia al Garante un’informativa relativa all’oggetto, alle finalità e al contesto del trattamento, utilizzando il modello di cui al comma 1021, lettera c). Trascorsi quindici giorni lavorativi dall’invio

56

Ai nostri fini, la nuova ipotesi di liceità del trattamento potrebbe venire in rilievo per i casi in cui il consenso sia stato revocato, ma il titolare dimostri di avere (ancora) un legittimo interesse al trattamento dei dati.

Alla luce del richiamo ai diritti e alle libertà fondamentali, questa ipotesi sembra potersi escludere, anche se la prospettiva di introdurre il legittimo affidamento dell’interessato come elemento utile ai fini della valutazione della condotta del titolare è di sicuro interesse in un’ottica contrattualistica.

Del resto, proprio l’eventualità in cui l’interessato abbia ormai revocato il proprio consenso rappresenterebbe uno di quei casi, ai quali si riferisce il considerando n. 47, in cui questo non possa ragionevolmente attendersi un ulteriore trattamento per la finalità non più consentita.

A livello di cautele amministrative, sono state recentemente proposte utili osservazioni a riguardo. Si è notato, in particolare, che, normalmente, “il

bilanciamento degli interessi potrebbe richiedere al titolare di accompagnare i trattamenti con limiti e cautele specifiche, che assicurino la “prevalenza” dei diritti degli interessati. Per un trattamento per finalità

dell’informativa, in assenza di risposta da parte del Garante, il titolare può procedere al trattamento”.

I commi successivi prevedono, poi, un aggravio burocratico nei seguenti termini “1023. Il

Garante per la protezione dei dati personali effettua un’istruttoria sulla base dell’informativa ricevuta dal titolare ai sensi del comma 1022 e, ove ravvisi il rischio che dal trattamento derivi una lesione dei diritti e delle libertà dei soggetti interessati, dispone la moratoria del trattamento per un periodo massimo di trenta giorni. In tale periodo, il Garante può chiedere al titolare ulteriori informazioni e integrazioni, da rendere tempestivamente, e, qualora ritenga che dal trattamento derivi comunque una lesione dei diritti e delle libertà del soggetto interessato, dispone l’inibitoria all’utilizzo dei dati.

1024. Il Garante per la protezione dei dati personali dà conto dell’attività svolta ai sensi del comma 1023 e dei provvedimenti conseguentemente adottati nella relazione annuale di cui all’articolo 154, comma 1, lettera m), del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196”.

Secondo F. BRAVO, op. cit., p. 218, il frettoloso legislatore delegante, nel deresponsabilizzare il titolare del trattamento e nell’aggravare l’iter burocratico, non ha tenuto conto del fatto che “gli adempimenti inseriti ex novo per il titolare del trattamento si pongono in violazione con la

fonte eurounitaria, che non è una direttiva, ma un regolamento, che sul punto non ha conferito poteri di integrazione o di deroga in capo al legislatore nazionale: si tratta dunque di disposizioni che, contrastano con la norma europea e, dunque, sono destinate alla disapplicazione, anche senza necessità di sollevare la questione interpretativa in via pregiudiziale innanzi alla Corte di giustizia”.

57

commerciali, ad esempio, potrebbe occorrere una limitazione dei canali o delle frequenze di contatto o ancora la previsione di un meccanismo semplificato per opporsi ai trattamenti. Il titolare dovrà così incorporare nella decisione una fase di ponderazione degli interessi della quale occorrerà dare una documentazione e che dovrebbe riflettersi nelle misure associate al trattamento”137_.