L’art.6 del Regolamento 2016/679 sulla protezione dei dati personali (GDPR) prevede sei ipotesi (cd. basi giuridiche) idonee a legittimare un trattamento lecito di dati personali: consenso dell’interessato, esecuzione di un contratto, obbligo di legge, salvaguardia degli interessi vitali dell’interessato, esecuzione di un pubblico interesse e legittimo interesse del titolare.
Con minime variazioni, si tratta delle stesse sei basi giuridiche già previste dall’art.7 della Direttiva 95/46/CE.
Come noto, con il D.l.vo 196/03 (codice privacy) l’Italia ha attuato in maniera piuttosto peculiare tale disposizione, da un lato stabilendo una netta distinzione tra trattamenti effettuati da soggetti pubblici (a cui è stata applicata la specifica base giuridica dell’esecuzione di un pubblico interesse) e trattamenti effettuati da soggetti privati, dall’altro riservando al consenso un ruolo preponderante rispetto alle altre basi giuridiche in relazione ai trattamenti in ambito privatistico.
In particolare, il consenso è stato interpretato come unica base giuridica (art.23 codice privacy) sul quale sono state innestate, come eccezioni alla regola, le altre quattro restanti basi giuridiche di cui sopra.
Con riferimento al legittimo interesse del titolare, l’art.24, 1° co., lett. g), del codice privacy stabilisce che esso si applichi, con esclusione della diffusione, nei casi individuati dal Garante, qualora il trattamento sia necessario per perseguire un legittimo interesse del titolare o di un terzo destinarlo dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato.
Rispetto alla Direttiva privacy, dunque, il legislatore italiano ha scelto non solo di subordinare il legittimo interesse del titolare alla regola generale del consenso dell’interessato, ma lo anche condizionato ad una verifica del Garante, ne ha escluso l’applicabilità per le operazioni di diffusione ed ha imposto un bilanciamento non solo con i diritti e libertà fondamentali, ma anche con gli interessi legittimi (nel senso tecnico-amministrativo del termine giuridico) dell’interessato.
Con l’entrata in vigore, il prossimo 25 maggio, del GDPR ci si aspettava che tale impalcatura crollasse in forza dell’efficacia diretta della normativa europea nel territorio nazionale.
Con L. 27 dicembre 2017, n.205 (legge di bilancio 2018), invece, all’art.1, commi 1021 e ss., è stata introdotta una procedura ad hoc che vanifica la portata innovativa del GDPR ed il fondamentale principio di accountability (responsabilizzazione, in italiano) ad essa sotteso.
Tale normativa, allo stato, risulta essere stata fatta salva dallo schema di decreto di adeguamento della normativa nazionale al Regolamento UE approvato in via preliminare in data 21 marzo 2018, il quale, all’art.101, prevede l’espressa abrogazione solamente dei commi 1021 e 1024 dell’art.1 della legge di bilancio.
Dall’esame di tali disposizioni di legge emerge come, nel nostro Paese, un titolare che intenda effettuare un trattamento facendo valere un suo legittimo interesse debba, prima di procedere al trattamento stesso, inviare al Garante per la protezione dei dati personali un’informativa contenente l’oggetto, le finalità ed il contesto del trattamento e possa procedere al trattamento decorsi quindici giorni senza risposta, salvo restando in capo all’Autorità il potere di effettuare un’istruttoria e, in caso di valutazione negativa con riferimento al rischio di lesione dei diritti e delle libertà dei soggetti interessati, di sospendere o vietare il trattamento.
Si tratta di una soluzione ibrida tra il precedente onere di chiedere una verifica preliminare al Garante ai sensi dell’art.17 codice privacy e l’attuale disciplina europea che lascia al titolare ogni decisione in merito ai trattamenti posti in essere, alla scelta della base giuridica più confacente ed alla valutazione del rischio per i diritti e le libertà degli interessati (nelle variegate ipotesi in cui esso è previsto).
Si tratta di una sorta di notificazione ai sensi dell’art.37 del codice privacy a cui segue una verifica (in tempi a dir poco stringenti) da parte del Garante in ordine alla legittimità della base giuridica adottata; una verifica che non può, peraltro, essere equiparata alla consultazione preventiva ex art.36 GDPR in quanto non viene richiesto al titolare di eseguire previamente una propria valutazione di impatto (a dire il vero nell’informativa da inviare al Garante non viene neppure richiesto al titolare di comunicare se ha eseguito ed in che termini il bilanciamento richiesto dall’art.6, 1° co., lett. f) del Regolamento).
Tale procedura è di dubbia conformità rispetto al Regolamento UE ed è oggettivamente difficile comprenderne la ratio.
Se è vero che il legittimo interesse del titolare possa essere additata come la base giuridica più flessibile ed incerta del GDPR e che per tali ragioni potrebbe prestarsi se non ad abusi quanto meno ad utilizzi non propriamente corretti, è altresì vero che il principio di accountability richiede un deciso cambio di marcia ed il GDPR sarà veramente in grado di cogliere e risolvere le sfide della moderna società digitalizzata solo se i legislatori e le Autorità di Controllo per primi sapranno interpretarlo in modo tale da non mortificare le parti in cui più affiora il suo spirito innovativo.
Dopo vent’anni di paternalistica tutela da parte del Garante, dobbiamo supporre che i titolari italiani siano ormai in grado di camminare da soli e di affrontare, al pari dei loro competitor europei, l’adeguamento al GDPR in piena autonomia, assumendosi la responsabilità delle proprie scelte, ma anche sfruttando appieno la maggiore libertà di iniziativa imprenditoriale concessa loro dal principio di accountability.
Del resto un gran numero di indicazioni è a disposizione dei titolari per definire il perimetro di liceità del trattamento svolto sulla base di un legittimo interesse.
Sicuramente un primo parametro per inquadrare puntualmente la materia (nonché fonte stessa di ispirazione del Regolamento e dunque utile strumento per un’interpretazione sistematica) è rappresentato dalle linee guida offerte dal WP29 nel parere del 9 aprile 2014.
Altri utili riferimenti sono poi forniti dal considerando 47 del GDPR, stando al quale la base giuridica del legittimo interesse presuppone non solo la necessità di eseguire un bilanciamento con i diritti e le libertà dell’interessato (l’impatto deve essere, ovviamente, minimo) ma impone di prendere anche in considerazione “le ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento”. Si tratta di un principio assai interessante che pare riecheggiare la “reasonable expectation of privacy” delineata nel 1967 dal Giudice Harlan, membro della Corte Suprema americana, nella sua concurring opinion nella sentenza Kats vs U.S., in un caso relativo alla legittimità, rispetto al IV Emendamento della Costituzione americana, di una intercettazione ambientale eseguita dall’FBI all’interno di una cabina telefonica senza mandato (warrant).
Non solo. Il considerando 47 elenca anche una serie di ipotesi, sebbene non esaustivi, di legittimo interesse citando, ad esempio, i rapporti dipendente/datore di lavoro, cliente/fornitore, la prevenzione di frodi ed il marketing diretto.
Anche i provvedimenti emanati nel corso degli anni dal Garante offrono importanti elementi per la valutazione del rischio ed il relativo bilanciamento.
Ad esempio, con provvedimento 19 gennaio 2017, n.14 è stata dall’Autorità di Controllo italiana ammessa come ipotesi di valido legittimo interesse un trattamento aziendale di dati connesso ad un sistema antifrode.
In ambito lavorativo, il Garante ha ampiamente riconosciuto, sempre in sede di verifica preliminare, la sussistenza del legittimo interesse del titolare/datore di lavoro con riferimento al trattamento di dati di localizzazione di dispositivi smartphone e tablet, di localizzazione di dispositivi radio mobili e dispositivi veicolari in uso al personale dipendente, nonché in relazione al trattamento di dati personali relativi ad un sistema di controllo biometrico facciale di accesso aziendale (quest’ultimo provvedimento verosimilmente non più valido dopo il 25 maggio 2018 atteso che i dati biometrici vengono dal GDPR qualificati come una particolare categoria di dati per i quali, ai sensi dell’art.9, è richiesto il consenso esplicito dell’interessato).
Da ultimo, ipotesi di legittimo interesse sono stati dalla dottrina individuati nelle comunicazioni di dati tra società dello stesso gruppo (trattamento in Italia espressamente disciplinato come scriminante al consenso dell’interessato in forza dell’art.24, 1° co., lett. i ter), del codice privacy), il trattamento di dati eseguito al solo fine di rendere effettivo il diritto di opposizione dell’interessato ad un trattamento a fini di marketing (dal 25 maggio p.v. verosimilmente coperto dal diritto di limitazione di cui all’art.18, 1° co., lett. b) e d) del GDPR), ovvero i trattamenti eseguiti al solo fine di verificare l’età dell’interessato o di effettuare analisi web.
Alla luce di quanto sopra, è ragionevole ipotizzare che, in tema di legittimo interesse, i titolari italiani riuscirebbero, come fanno già da anni quelli europei, a destreggiarsi agevolmente in piena autonomia nell’attività loro demandata dal GDPR di valutazione dei rischi e bilanciamento ai fini di cui all’art.6, 1° co., lett. f), del Regolamento, specie considerando il fatto che dall’imposizione di un adempimento non previsto dal Regolamento quale quello introdotto dalla legge di bilancio non pare derivare nessuna maggiore tutela per i soggetti interessati dal trattamento.
In questo quadro generale, qualche specifica riflessione merita il marketing diretto, espressamente menzionato nel considerando 47 come ipotesi di legittimo interesse del titolare.
Anche sotto questo profilo, a differenza di quanto di recente riportato in alcuni entusiastici commenti, il GDPR non è particolarmente innovativo atteso che già la Direttiva privacy, al considerando 30, prevedeva l’attività di marketing quale ipotesi di legittimo interesse del titolare, salvo il diritto dell’interessato di opporsi senza costi e senza motivazioni e salva la facoltà degli Stati membri di stabilire regole diverse.
L’esplicito inserimento del marketing diretto nel novero della lista di ipotesi in cui può essere riconosciuto il legittimo interesse del titolare è strettamente connesso alla necessità di contemperare i due diversi approcci culturali in materia di pratiche commerciali adottati del mondo anglosassone e dell’Europa continentale: il primo storico fautore del cd. opt-out, la seconda dell’opt-in (i.e. della necessità di consenso preventivo).
Ad oggi, nell’ordinamento italiano le ipotesi di negative option, sulla scorta del disposto di cui all’art.130 del codice privacy, sono solamente due: 1) utilizzo di telefono e posta cartacea per finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale sempre che l’interessato non sia iscritto nel Registro delle opposizioni; 2) utilizzo della posta elettronica esclusivamente per finalità di vendita diretta nel contesto di un rapporto già in essere tra cliente e fornitore.
Tali condizioni continueranno ad essere applicate anche dopo il 25 maggio 2018 nella misura e fin tanto che l’art.130 verrà riprodotto nell’art.88 dello schema di decreto di adeguamento.
Al netto di quanto verrà stabilito sul tema dal Regolamento e-privacy di prossima approvazione, in Italia, a differenza di quanto avviene in altri Stati (si veda il documento diffuso dall’ICO, il Garante inglese per la protezione dei dati personali), il trattamento a fini di marketing diretto, nei predetti casi, non avrà come base giuridica il legittimo interesse del titolare quanto piuttosto una espressa e speciale disposizione normativa che autorizza ex lege tale trattamento (cfr. art.88, 3° co., schema decreto attuativo).
Al di fuori di tali ipotesi, i titolari che vorranno avvalersi del legittimo interesse come base giuridica per perseguire finalità di marketing diretto dovranno inevitabilmente aderire alla procedura prevista dalla legge di bilancio, con indubbie gravi ripercussioni nell’applicazione del GDPR a livello internazionale.
È sufficiente leggere la nuova policy privacy di WhatsApp per capire come l’incompatibilità della normativa italiana con il Regolamento europeo, se non modificata in extremis all’atto dell’approvazione definitiva del decreto di adeguamento, sarà destinata a generare incresciose impasse per le aziende transnazionali. Certo, a livello giuridico ci si potrà aggrappare al principio di disapplicazione della norma interna in contrasto con quella europea, ma sarebbe forse opportuno che ci fosse a priori una cornice normativa in grado di garantire in modo chiaro e lineare la certezza del diritto con riferimento a norme europee provviste di efficacia diretta nel nostro Paese.