EntiOnLine
Categorie
Tutorial > Glossario-Definizioni
Tutorial > Normativa
Normativa europea e internazionale
Normativa italiana
Tutorial > Autocontrollo di conformita' > chek list
Tutorial > Modulistica-Formulari-Procedure
Modulistica Garante
Procedure-Buone prassi
Formule
Massimario > Quesiti e Faq
Accesso Civico e documentale
Albo pretorio e Trasparenza
Attivita' di trattamento
Attori interni ed esterni
Canali Social e motori di ricerca> Youtube, Facebook, Twitter, Linkedin - Google, Safari, Firefox
Certificazione e accreditamento
Cookie
Coronavirus
Data Breach
Dati Sanitari
Diritti
DPIA
Foto e Video Online
Garante
RPD
GDPR
Green-pass
Informativa
Internet e Motori di ricerca
ISTAT
Minori
Password
Phishing
Piano triennale trattamento e protezione dati
Polizia Postale e delle Comunicazioni
Pubblica amministrazione e trasparenza
Registrazione delle attivita' di trattamento
Sanzioni Amministrative
Scuola
Sicurezza informatica
Spam
Spid
Trattamento dei dati
Videosorveglianza
News
Tutorial > Formazione - Slide
Tutorial > Formazione -Video
Soggetti > Titolare autonomo
Soggetti > Contitolare
Soggetti > Titolare - Dirigenti designati - Dipendenti incaricati
Accountability
Soggetti > Servizio protezione dati - DPO
Soggetti > Responsabile del trattamento
Soggetti > Responsabile servizio protezione dati-rpd
Vigilanza DPO-RPD
Soggetti > Interessati - diritti
Diritti degli interessati
Informativa in formato elettronico e icone sul sito web
Informativa: trasparenza del trattamento
Autorita' di regolazione > Garante europeo
Giornate europee della protezione dei dati
Autorita' di controllo > Garante
Attivita' ispettiva
Linee guida e Linee guida europee
Pareri
Pareri su istanze di accesso civico - art.5, co. 7 D.Lgs. 33/2013
Provvedimenti
Provvedimenti approvazione regole deontologiche e Codici di condotta
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Pubblicazioni e Comunicati
Autorita' di indagine > Guardia di finanza - Polizia postale
Sistema di gestione rischio> Valutazione di impatto - DPIA
Sistema di gestione rischio > Attivita' di trattamento - REGISTRI
Registro attivita' di trattamento
Registro Data breach
Sistema di gestione rischio > Data Breach > Illeciti penali
Sistema gestione rischio > Attivita' di trattamento dati particolari
Sistema gestione rischio - Analisi - DESCRIZIONE SISTEMATICA
Adesione a un meccanismo di certificazione
Ambito di applicazione del trattamento
Archivi/banche dati
Categorie di destinatari
Categorie di interessati
Categorie di trattamenti - forme ordinarie di elaborazione
Categorie di trattamenti - particolari forme di elaborazione- : interconnessione e raffronti di dati-elaborazioni automatizzate
Categorie di trattamenti - particolari forme di elaborazione: comunicazione
Categorie di trattamenti - particolari forme di elaborazione: diffusione
Categorie di trattamenti - particolari forme di elaborazione: trasferimento all'estero
Categorie-tipi di dati
Cessazione trattamento: modalita' di cessazione dei dati
Cessazione trattamento: Periodo di conservazione dei dati
Cessazione trattamento: termine ultimo per la cancellazione delle diverse categorie di dati
Codici di condotta e regole deontologiche
Contesto del trattamento
Finalita' del trattamento
Fonte normativa
Interesse legittimo
Luoghi di custodia dei dati
Natura del trattamento
Opinioni interessati o loro rappresentanti
Parere di esperti
Parere RPO/RTD
Registrazione dei dati personali, dei destinatari e del periodo di conservazione dei dati personali
Sintetica descrizione del trattamento e del flusso informativo
Tipo di archivio/banca dati
Valutazione impatto sulla protezione dei dati - DPIA
Sistema di gestione rischio - Valutazione - Determinazione preliminare
1.Valutazione o assegnazione di punteggio
2.Processo decisionale automatizzato
3.Monitoraggio sistematico
4.Dati sensibili o aventi carattere altamente personale
5.Trattamento di dati su larga scala
6.Creazione di corrispondenze o combinazione di insieme di dati
7.Dati relativi a interessati vulnerabili
8.Uso innovativo o applicazioni di nuove soluzioni tecnologiche o organizzative
9.Trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o un contratto
Criteri pertinenti in base alle linee guida
Criteri pertinenti rilevati dall'Ente
Descrizione sistematica
Motivazione assenza rischio elevato
MY PERSONAL BD > Sistema gestione rischio - Valutazione - Necessita' proporzionalita' conformita' gdrp
Linee-guida Gruppo Articolo 29
Metodologia di valutazione dei rischi
Data breach
Misure che contribuiscono ai diritti degli interessati in relazione alle finalita'
Misure che contribuiscono alla proporzionalita' e necessita' del trattamento in relazione alle finalita'
Misure previste per dimostrare la conformita' al RGPD
Valutazione rischio: sintesi
Sistema di gestione rischio > Data Breach > Illeciti amministrativi e danno erariale
Sistema di gestione rischio > Prescrizioni - raccomandazioni Garante
Sistema di gestione rischio > Revisione - Monitoraggio - Riesame
Fasi attuazione misure
Indicatori attuazione misure
Responsabile attuazione misure
Riesame e motivazione riesame
Stato attuazione misure
Sistema di gestione rischio > Minacce
RISCHI Impatti potenziali in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilita' dei dati
RISCHI Minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
RISCHI Origine/fonte dei rischi: accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
Valutazione rischio - ponderazione
Sistema gestione rischio - Trattamento - Misure di sicurezza e sicurezza informatica
AgID e sicurezza informatica
Misure di sicurezza logistiche
Misure di sicurezza organizzative
Misure di sicurezza procedurali
Misure di sicurezza tecniche informatiche, comprese le misure di ripristino in caso di data breach
Sistema di gestione rischio > Attivita' di trattamento dati personali
Attivita' fiscale e tributaria
Attivita' giudiziaria
Big data e Open data
Dati biometrici
Biometria in ambito pubblico
Dati biometrici nel rapporto di lavoro
Dati personali nel rapporto di lavoro pubblico e privato
Dati personali dei dipendenti mediante dispositivi e posta elettronica
Dati personali nella gestione del rapporto di lavoro
Dati relativi ai dipendenti tramite sistemi di geolocalizzazione
Pubblicita' e trasparenza dei dati dei lavoratori
Dati sensibili e giudiziari presso le pubbliche amministrazioni
Documentazione anagrafica e la materia elettorale
Istruzione scolastica
Previdenza e l'assistenza sociale
Recupero crediti
Sanita' e dati genetici
Trattamenti effettuati presso regioni ed enti locali
Videosorveglianza
Videosorveglianza in ambito privato
Videosorveglianza in ambito pubblico
Sistema di gestione rischio > Attivita' di trattamento - principi e base giuridica
Liceita' del trattamento
Liceita'-Consenso
Principi generali
Trasparenza del trattamento
Sistema di gestione rischio > Trasparenza - privacy - accesso civico
Sorveglianza DPO
Sorveglianza DPO > Programmazione
Sorveglianza DPO > Prescrizioni - raccomandazioni
Raccomandazioni e Prescrizioni RPD
Focus > Transizione al digitale
Focus > Intelligenza artificiale
Focus > Elezioni
Trattamento dei dati personali da parte di movimenti politici e associazioni
Trattamento dei dati personali degli eletti e degli amministratori da parte delle P.A.
Focus > Coronavirus e smart working
Focus > Censimento
Focus > Casi riportati dalla stampa
Focus > Rapporto lavoro pubblico
Focus > Giurisprudenza
Focus > Albo pretorio e amministrazione trasparente
cerca
CONSULENZA
FAQ
Pareri del consulente
STRUMENTI
Modulistica
Schemi e tabelle
Procedure
Glossario
Rassegna stampa
NORMATIVA
Normativa
Linee guida ANAC
Linee guida Garante Privacy
Principi di diritto
Documentazione
GIURISPRUDENZA
Giurisprudenza
Decisioni amministrative
Provvedimenti delle autorita'
indietro
06/02/2018 Base giuridica: Interesse legittimo del responsabile del trattamento (oppure del o dei terzi cui vengono comunicati i dati)

Base giuridica: Interesse legittimo del responsabile del trattamento (oppure del o dei terzi cui vengono comunicati i dati)

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679 adottate il 3 ottobre 2017 Versione emendata e adottata in data 6 febbraio 2018

ALLEGATO 3 - Approfondimenti - Parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva95/46/CE

GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI

844/14/IT

WP217

III.2. Articolo 7, lettere da a) a e)

La presente sezione III.2 fornisce una breve panoramica di ciascuno dei fondamenti giuridici di cui all’articolo 7, lettere da a) a e), della direttiva, prima che, nella sezione III.3, il parere si concentri sull’articolo 7, lettera f). L’analisi evidenzierà inoltre alcune delle interfacce più comuni tra tali fondamenti giuridici, quali, ad esempio, “l’esecuzione di un contratto”, “l’adempimento di un obbligo legale” e “il perseguimento dell’interesse legittimo”, a seconda del contesto particolare e delle circostanze del caso.

III.3.1.Interesse legittimo del responsabile del trattamento (oppure del o dei terzi cui vengono comunicati i dati)

l concetto di“interesse”Il concetto di “interesse” è strettamente correlato al concetto di “finalità” citato all’articolo 6 della direttiva, pur distinguendosene.In materia di protezione dei dati, per “finalità” si intendono ilmotivospecificoper cui si trattano i dati: l’obiettivo o lo scopo del trattamento dei dati. Un interesse, invece, è l’interesse più ampio che un responsabile può avere nel trattamento oppure il beneficio che il responsabile trae (o che potrebbe trarre la società) dal trattamento.Per esempio, un’azienda potrebbe avere un interessea tutelare la salute e la sicurezzadel personale che lavora pressoil suo impianto nucleare.Relativamente a questo aspetto, la finalitàdell’impresa potrebbe essere l’attuazione di determinate procedure di controllo dell’accessoche giustifica il trattamento di taluni dati personali specifici al fine di contribuire a tutelare la salute e la sicurezza del personale.Un interesse deve essere articolato in maniera sufficientemente chiara da consentire di eseguireil test comparativo valutando l’interesse legittimo del responsabile del trattamento rispetto agli interessi eai diritti fondamentali dell’interessato.Inoltre, l’interesse in questione deve anche essere “perseguito dal responsabile del trattamento”. A tal fine l’interesse deve essere concreto ed effettivo, qualcosa che corrisponda alle attivitàin corsoo ai benefici previsti nell’immediato futuro. In altre parole, gli interessi che sono troppo vaghi o teorici non saranno sufficienti.La natura dell’interesse può variare. Alcuni interessi possono essere preminenti e vantaggiosi per la società in generale, quali ad esempio l’interesse della stampa a pubblicare informazioni sulla corruzione governativa o l’interesse a svolgere ricerca scientifica (fatte salve garanzie adeguate). Altri interessi possono essere meno preminenti per la società nel suo complesso o, in ogni caso, l’impatto del loro perseguimento sulla società potrebbe essere più eterogeneo o controverso. Questasituazione potrebbe verificarsi, per esempio, nel caso di un’impresa il cui interesse economico è venire a conoscenza del maggior numero possibile di informazioni sui suoi potenziali clienti al fine di pubblicizzare in maniera più mirata i suoi prodotti oservizi.Che cosa rende un interesse “legittimo” o “illegittimo”?L’obiettivo di questa domanda è individuare la soglia di ciò che costituisce un interesse legittimo. Se l’interesse del responsabile del trattamento dei dati è illegittimo, il test comparativo non sarà effettuato poiché non sarà stata raggiunta la soglia iniziale per l’utilizzo dell’articolo 7, lettera f).A parere del Gruppo di lavoro, il concetto di interesse legittimo potrebbe comprendere un’ampia serie di interessi, sia di scarso rilievo che decisamente preminenti, evidenti oppure più controversi. Sarà poi in una seconda fase, quando si tratterà di valutare questi interessi rispetto agli interessi e ai diritti fondamentali degli interessati, che occorrerà adottare un approccio più restrittivo ed effettuare un’analisi più sostanziale.Di seguito è riportato un elenco non esaustivo di alcuni degli ambiti più comuni in cui può porsi la questione dell’interesse legittimo ai sensidell’articolo 7, lettera f). È presentato lasciando impregiudicata la possibilità che gli interessi del responsabile del trattamento prevalgano in ultima analisi sugli interessi e sui diritti degli interessati al momento dell’esecuzione del test comparativo.

  • esercizio del diritto alla libertà di espressione e d’informazione, anche nei mezzi di comunicazione e di espressione artistica
  • commercializzazione diretta tradizionalee altre forme di commercializzazione o pubblicità
  • messaggi indesiderati non commerciali, anche afini di campagne politiche o di raccolta fondi per scopi benefici
  • esercizio di un diritto invia giudiziale, compreso il recupero del credito tramite procedure extragiudiziali
  • prevenzione di frodi, uso improprio dei servizi o riciclaggio di denaro
  • controllo del personale a fini di sicurezza o gestione
  • procedure per la denuncia delle irregolarità
  • sicurezza fisica, sicurezza informatica e sicurezza della rete
  • trattamento di dati a scopi statistici o di ricerca storica o scientifica
  • trattamento a scopi di ricerca (compresa la ricerca a fini commerciali)Di conseguenza, un interesse può essere considerato legittimo nella misura in cui il responsabile del trattamento può perseguire tale interesse secondo modalità che sono conformi alla legislazione in materia di protezione dei dati e ad altre normative. Inaltre parole, un interesse legittimo deve essere“ammesso dalla legge”48.

Di conseguenza, per essere pertinente ai sensi dell’articolo 7, lettera f),un “interesse legittimo”deve:

  • essere lecito (ossia conforme aldirittonazionale e unionale applicabile);
  • essere articolato in maniera sufficientemente chiara da consentire di eseguire il test comparativo valutando l’interesse legittimo del responsabile del trattamento rispetto agli interessi e ai diritti fondamentali dell’interessato (ossia sufficientemente specifico);
  • rappresentare un interesse concreto ed effettivo (ossia non deve essere teorico).

l fatto che il responsabile del trattamento abbia tale interesse legittimo nel trattamento di determinati dati non significa che possa necessariamente invocare l’articolo 7, lettera f), come fondamento giuridico per il trattamento. La legittimità dell’interesse del responsabile del trattamento dei dati è solo un punto di partenza, uno degli elementi che devono essere analizzati ai sensi dell’articolo 7, lettera f). La possibilità di invocare l’articolo 7, lettera f), dipenderà dall’esito del testcomparativo che segue.A titolo di esempio, i responsabili del trattamento possono avere un interesse legittimo a conoscere le preferenze dei loro clienti per poter personalizzare meglio le loro offerte e, in definitiva, offrire prodotti e servizi in grado di soddisfare meglio le esigenze e i desideri dei clienti. Alla luce di questa considerazione, l’articolo 7, lettera f), potrebbeessere un fondamento giuridico adeguato da utilizzare per alcuni tipi di attività di commercializzazione, sia online che offline, purché sussistano adeguate garanzie(compreso, fra l’altro, un meccanismo efficace che permetta di opporsi a tale trattamento ai sensi dell’articolo 14, letterab), come sarà illustrato nella sezioneIII.3.6 Il diritto di opposizione eoltre). Tuttavia, questo non significa che i responsabili del trattamento potranno avvalersi dell’articolo 7, lettera f), per controllare indebitamente le attività online o offline dei loro clienti, combinare grandi quantitativi di dati che li riguardano, dopo averli ricavati da varie fonti e averli inizialmente raccolti in altri contesti e per finalità differenti, e creare (e, adesempio, grazie agli intermediari che forniscono dati, anche effettuare la compravendita di) profili complessi delle personalità e delle preferenze dei clienti a loro insaputa, senza un meccanismo efficace che permetta di opporsi al trattamento dei datie tantomeno senza il loro consensoinformato. È probabile che tale attività di profilazionecostituisca una considerevole ingerenza nella vita privata del cliente e, in tal caso,sull’interesse del responsabile del trattamento prevarrebbero gli interessi e i diritti dell’interessato49.Ilparere sul trattamento dei dati personali da parte della Società per le telecomunicazioni finanziarie interbancarie mondiali (SWIFT)50contiene un ulteriore esempio: pur avendo riconosciuto l’interesse legittimo della società a soddisfare le richieste ufficiali a norma del diritto statunitense, per evitare il rischio di farsi infliggere sanzioni da parte delle autorità degli USA, il Gruppo di lavoro ha stabilito l’impossibilità di avvalersidell’articolo 7, lettera f), come fondamento giuridico.Il Gruppo di lavoro ha ritenuto in particolare che, a causa degli effetti a lungo raggio che potrebbe avere sugli individuiil trattamento dei dati effettuato “nascostamente, sistematicamente, in grandi proporzioni e nel lungo periodo”, “gli interessi ed i diritti e libertà fondamentali dei numerosi individui ai quali si riferiscono i dati prevalgano sull’interesse della SWIFT di non farsi infliggere sanzioni dagli USA per non aver eventualmente soddisfatto le sue richieste ufficiali”.Come sarà illustrato più avanti, se l’interesse perseguito dal responsabile del trattamento non è preminente, è più probabile che l’interesse e i diritti dell’interessato prevalgano rispetto al legittimo, ma meno importante, interesse del responsabile del trattamento.Al contempo, questo non significa chel’interesse meno preminente del responsabile del trattamento non possa talvolta prevalere rispetto agli interessie ai diritti degli interessati: in genere questa situazione si verifica quando anche l’impatto del trattamento sugli interessati è meno rilevante.

Interesse legittimo nel settore pubblico

Il testo attuale della direttiva non vieta espressamente ai responsabili del trattamento che sono autorità pubbliche di trattare dati avvalendosi dell’articolo 7, lettera f), come fondamento giuridico per iltrattamento51.Tuttavia, la proposta di regolamento52esclude questa possibilità per il“trattamento di dati effettuato dalle autorità pubbliche nell’esercizio dei loro compiti”.La modifica legislativa proposta evidenzia l’importanza del principio generale secondo cui le autorità pubbliche, di norma, devono trattare dati esclusivamente nell’esercizio dei loro compiti, purché siano opportunamente autorizzate dalla legge ad agire in tal senso. L’adesione a questo principio è particolarmente importante, ed espressamente prevista dalla giurisprudenza della Corte europea dei diritti dell’uomo, nei casi in cui è in gioco la vita privata degli interessati e le attività dell’autorità pubblica costituirebbero un’ingerenza nella loro vita privata.È pertanto necessaria un’autorizzazione prevista dalla legge, anche ai sensi dell’attuale direttiva, sufficientemente dettagliata e specificanel caso in cui il trattamento effettuato dalle autorità pubbliche costituisca un’ingerenza nella vita privata degli interessati.Tale prescrizionepuò assumere la forma di uno specifico obbligo giuridico per il trattamento dei dati, in grado di ottemperare all’articolo 7, lettera c), o di un’autorizzazione specifica(senza essere necessariamente un obbligo) al trattamento dei dati, che possa rispettare le prescrizioni dell’articolo 7, letteree) o f)53.Interesse legittimo dei terziIl testo attuale della direttiva non fa soltanto riferimento al “perseguimento dell’interesse legittimo del responsabile del trattamento”, ma permette diavvalersi dell’articolo 7, lettera f), anche quando l’interesse legittimo è perseguitodal o dai “terzi cui vengono comunicati i dati”54. Gli esempi riportati di seguito illustrano alcuni dei contesti in cui potrebbeessere applicata questa disposizione.

Pubblicazione dei dati a fini di trasparenza e responsabilità.

Un contesto importante in cui l’applicazione dell’articolo 7, lettera f), potrebbeessere pertinente è il caso della pubblicazione di dati a fini ditrasparenza e responsabilità(per esempio, gli stipendi degli alti dirigenti di una società). Inquesto caso si può ritenere che la divulgazione pubblica sia effettuata essenzialmente non nell’interesse del responsabile del trattamento che pubblica i dati, bensì nell’interesse di altre parti interessate, quali i dipendenti dell’azienda, i giornalisti o il grande pubblico, cui sono comunicati i dati.Dal punto di vista della protezione dei dati e della tutela della vita privata, e per garantire la certezza del diritto in generale, è consigliabile chei dati personali siano comunicati al pubblico sulla base di una legge che consenta e, ove opportuno, specifichi chiaramente i dati che devono essere pubblicati, le finalità della pubblicazione e tutte le garanzie necessarie55.Questo significa anche che, quando i dati personali sono comunicati a fini di trasparenza e responsabilità, potrebbeessere preferibile utilizzare come base giuridica l’articolo 7, lettera c), anziché l’articolo 7, lettera f)56.Tuttavia, in assenza di un obbligo giuridico specifico odi un’autorizzazione a pubblicare i dati, sarà comunque possibile comunicare i dati personali alle pertinenti parti interessate. Ove opportuno, sarà anche possibile pubblicare i dati personali a fini di trasparenza e responsabilità.In entrambi i casi, ossia a prescindere che i dati personali siano comunicati sulla base di una legge che ne autorizza la divulgazioneo meno,la loro diffusione dipende direttamente dall’esito del test comparativo di cui all’articolo 7, lettera f), nonché dall’attuazione di garanzie e misure adeguate57.Inoltre, l’ulteriore utilizzo, ai fini di una maggiore trasparenza, di dati personali già divulgati (per esempio, la ripubblicazione dei dati da parte della stampa oppure l’ulteriore diffusione, in maniera più innovativa e semplice,della seriedi dati pubblicatainizialmente da parte di una ONG)potrebbeessere anch’esso auspicabile. La possibilità di ripubblicare e riutilizzare i dati dipenderà a sua volta dall’esito del test comparativo, che dovrà tenere contro, tra l’altro, della natura delle informazioni e dell’effetto della ripubblicazione o del riutilizzo sulle persone58.Ricerca storica o altri tipi di ricerca scientifica.Altri contesti importanti in cui potrebbeessere pertinente comunicare i dati nell’interesse legittimo di terzi sono la ricerca storica o altri tipi di ricerca scientifica, in particolare laddove sia necessario accedere a determinate banche dati. La direttiva riconosce espressamente tali attività, fatte salve garanzie e misure adeguate59,ma è opportuno ricordare che il fondamento che legittima queste attivitàsarà spesso un utilizzo ben ponderato dell’articolo7, lettera f)60.

Interesse pubblico generale o interesse dei terzi.

Infine, anche l’interesse legittimo dei terzi potrebbe essere pertinente in una maniera differente. Questa circostanza si verifica quando un responsabile del trattamento, talvolta incoraggiato dalle autorità pubbliche, persegue un interesse che corrisponde a un interesse pubblico generale o a un interesse dei terzi.In quest’ambito possono rientrare i casi in cui un responsabile del trattamento va oltre gli obblighi giuridici specificiche è tenuto a rispettare conformemente a leggi e regolamenti al fine dicontribuire all’impegnoprofuso dalle autorità di contrasto e dai soggetti privati per combattere le attività illegali, quali il riciclaggio di denaro, l’adescamento di minori o la condivisione illegale di fileonline. In queste situazioni, tuttavia, è particolarmente importante garantire che siano rispettati appieno i limiti dell’articolo 7, lettera f)61.Il trattamento deve essere necessario al conseguimento della/e finalità perseguita/eInfine,il trattamento dei dati personali deve anche essere “necessario per il perseguimento dell’interesse legittimo” del responsabile del trattamento o, nel caso della comunicazione dei dati, del/dei terzo/i. Questa condizione integra il requisito della necessità di cui all’articolo6 e prevede un collegamento fra il trattamento e gli interessi perseguiti. Questo requisito della “necessità” si applica in tutte le situazioni indicate all’articolo 7, lettere da b) a f), ma è particolarmente pertinente nel caso della lettera f) per garantire che il trattamento dei dati basato sull’interesse legittimo non porti a un’interpretazione indebitamente ampiadella necessità di trattare i dati. Come negli altri casi, questo significa che occorre valutare se esistono altri mezzi meno invasivi per conseguire lo stesso obiettivo.

______________

48Le osservazioni sulla natura della “legittimità” formulate nella sezione III.1.3 del parere 3/2013 del Gruppo di lavoro sul principio di limitazione delle finalità (citato alla precedente nota a piè di pagina 9) si applicano anche in questo caso, mutatis mutandis. Come allepagine 19-20 del summenzionato parere, il concetto di 'legge'è utilizzato qui nel suo significato più ampio. Vi rientrano altre normative applicabili, fra cui leggi in materia di occupazione, contratti o tutela dei consumatori. Inoltre, il concetto di legge “comprende tutte le forme di diritto scritto e diritto comune, diritto primario e derivato, ordinanze comunali, precedenti giurisprudenziali, principi costituzionali, diritti fondamentali, altri principi legali nonché la giurisprudenza, poiché tale “legge” sarà interpretata e presa in considerazione dai tribunali competenti. Entro i confini della legge, per stabilire se una determinata finalità è legittima, possono essere presi in considerazione anche altri elementi quali codici doganali, codici di condotta, codici deontologici, accordi contrattuali nonché il contesto generale e gli elementi fattuali del caso. In quest’ambito rientrerà la natura, commerciale o di altro tipo, della relazione esistente tra il responsabile del trattamento e gli interessati”. Inoltre, ciò che può essere considerato come un interesse legittimo “può anche cambiare nel tempo, subordinatamente agli sviluppi scientifici e tecnologici e ai cambiamenti nella società e negli atteggiamenti culturali”.

49 La questione delle tecnologie di tracciamentoe il ruolo del consenso di cui all’articolo 5, paragrafo 3, della direttiva relativa alla vita privata e alle comunicazioni elettroniche saranno discussi separatamente. Cfr. la sezione III.3.6 (b) al paragrafo “Esempio: l’evoluzione nell’approccio all’invio di materiale pubblicitario”.

50 Cfr. la sezione 4.2.3 del parere già citato alla precedente nota a piè di pagina 39. In questo caso l’interesse legittimo del responsabile del trattamento era collegato anche all’interesse pubblico di un paese terzo, situazione che non poteva essere fatta rientrare nel campo di applicazione della direttiva 95/46/CE

51 In origine la prima proposta di direttiva della Commissione disciplinava separatamente il trattamento dei dati nel settore privato e le attivitàdi trattamento nel settore pubblico. Questa distinzione formale tra le norme che si applicano al settore pubblico e quelle applicabili al settore privato è stata abbandonata nella proposta modificata. Ciò potrebbeavere a sua volta determinato differenze nell’interpretazione e nell’attuazione da parte dei vari Stati membri.

52 Cfr. l’articolo 6, paragrafo 1, lettera f), della proposta di regolamento.

53 A tale proposito, cfr. anche la precedente sezione III.2.5 sul compito di interesse pubblico (pagg. 25-27)nonché le questioni affrontate nel prosieguo allarubricaInteresse legittimo dei terzi(pagg. 32-34). Cfr. anche le riflessioni sui limiti della “applicazione delle norme su iniziativa dei privati” a pagina 41, alla rubrica“interesse pubblico/interesse della collettività”. In tutte queste situazioni, è particolarmente importante garantire che siano rispettati appieno i limiti sia dell’articolo 7, lettera f),che dell’articolo 7, lettera e).

54 La proposta di regolamento intende limitare l’utilizzo di questo fondamento al “perseguimento del legittimo interesse del responsabile del trattamento”. Dal solo testo non si riesce a evincere se con l’espressione proposta si voglia meramente semplificare il testo o se si intenda escludere le situazioni in cui un responsabile del trattamento potrebbe comunicare i dati nell’interesse legittimo altrui. Il testo è comunque non definitivo. L’interesse dei terzi è stato per esempio reintrodotto nella relazione finale della commissione LIBE in occasione del voto del 21 ottobre 2013 sugli emendamenti di compromesso della commissione LIBE del Parlamento europeo. Cfr. l’emendamento 100 all’articolo 6. Il Gruppo di lavoro è favorevole alla reintroduzione dell’interesse dei terzi nella proposta poiché il suo utilizzo potrebbe continuare a essere appropriato in alcune situazioni, tra cui quelle descritte di seguito.

55 Questa raccomandazione sulle migliori pratiche non deve pregiudicare le norme giuridiche nazionali in materia di trasparenza e accesso del pubblico ai documenti

56 Difatto, in alcuni Stati membri devono essere rispettate norme differenti riguardo al trattamento effettuato da soggetti pubblici e privati. Ai sensi del Codice italiano in materia di protezione dei dati personali, per esempio, la diffusione di dati personali da parte di un soggetto pubblico è ammessa unicamente quando è prevista da una norma di legge o di regolamento (articolo 19, comma 3).

57 Come spiegato nel parere 6/2013 del Gruppo di lavoro sui dati aperti (cfr. pagg. 9-10 del suddetto parere, citato diseguito nellanota a piè di pagina 88), qualsiasi pratica o normativa nazionale in materia di trasparenza “deve osservare l’articolo 8 della CEDU e gli articoli 7 e 8 della Carta dell’UE. Ne consegue, come ha affermato la Corte di giustizia nelle sentenzeÖsterreichischer Rundfunke Schecke, che si dovrebbe verificare se la divulgazione sia necessaria per realizzare la finalità legittima perseguita e che non sia sproporzionata alla luce di tale obiettivo”. Cfr. Corte di giustizia, sentenza 20 maggio 2003, cause riunite C-465/00, C-138/01 e C-139/01, Rundfunk, e Corte di giustiziadell’Unione europea, sentenza 9 novembre 2010, cause riunite C-92/09 e C-93/09, Volker und Markus Schecke.

58 Il principio di limitazione delle finalità rivesteparimenti grande importanza in questo caso. A pagina 21 del parere 6/2013 del Gruppo di lavoro sui dati aperti (citato di seguito nellanota a piè di pagina 88), il Gruppo di lavoro “articolo 29” raccomanda “che qualsiasi normativa che richieda l’accesso pubblico a una serie di dati specifichi con chiarezza le finalità della diffusione di dati personali. Se ciò non avvenisse, o avvenisse solo in termini vaghi e generici, ne deriverebbe un pregiudizio per la certezza e la prevedibilità del diritto. In particolare, in merito a qualsiasi richiesta finalizzata al riutilizzo, sarebbe molto difficile per l’ente pubblico e i potenziali riutilizzatori interessati stabilire quali fossero gli scopi iniziali previsti della pubblicazione e, conseguentemente, quali altri scopi sarebbero compatibili con quelli iniziali. Come è già stato affermato, anche se vengono pubblicati dati personali su Internet, non è detto che tali dati possano essere ulteriormente trattati per ogni finalità possibile”.

59 Cfr., per esempio, l’articolo 6, paragrafo 1, lettere b) ed e).

60 Come spiegato nel parere 3/2013 del Gruppo di lavoro sul principio di limitazione delle finalità (citato nella precedente nota a piè di pagina 9), l’ulteriore utilizzo dei dati per finalità secondarie deve essere sottoposto a un duplicetest. Innanzitutto, si dovrà garantire che i dati saranno utilizzati per finalità compatibili. In secondo luogo, occorrerà garantire che il trattamento si fondi su una base giuridica adeguata ai sensi dell’articolo 7

Fonte: Garante per la Protezione dei dati - GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI - Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679

LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227

Categorie
Soggetti > Responsabile servizio protezione dati-rpd
Soggetti > Servizio protezione dati - DPO
Criteri pertinenti in base alle linee guida
Interesse legittimo
Sistema di gestione rischio > Prescrizioni - raccomandazioni Garante
Liceita' del trattamento
Accountability
Parole chiave
Interesse legittimo
Banca dati

Copyright © Entionline by Maggioli Spa - P.IVA 02066400405. Tutti i diritti riservati. Disclaimer - informativa privacy - Cookies policy

credits