Test di Bilanciamento nel GDPR per il Legittimo Interesse

Test di Bilanciamento nel GDPR per il Legittimo Interesse

Che cos’è e a cosa serve il test di bilanciamento?

Come abbiamo spiegato nel nostro articolo sul legittimo interesse (in cui troverai una chiara presentazione e le occasioni di utilizzo di questa base giuridica per il trattamento dei dati secondo il GDPR), per basare un trattamento sul legittimo interesse è necessario dimostrare la prevalenza dell’interesse del titolare o di terzi rispetto a quello degli interessati.

Il considerando 69 del regolamento recita chiaramente: “È opportuno che incomba al titolare del trattamento dimostrare che i suoi interessi legittimi cogenti prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell'interessato.”

Come dimostrare che l’interesse prevale sugli interessi e i diritti dell’interessato?

Il test di bilanciamento degli interessi ci viene in aiuto, e consente di individuare il bilanciamento corretto tra i diversi interessi in gioco.

Prima dell’entrata in vigore del GDPR, il test di bilanciamento veniva svolto su richiesta dal garante per la protezione dei dati personali. Ora, invece, tale valutazione di legittimità deve essere svolta direttamente dal titolare e potrà eventualmente essere smentita successivamente dall’Autorità di controllo.

Il risultato di questo test ha l’obiettivo di determinare se il legittimo interesse individuato dal titolare del trattamento può essere utilizzato come condizione di liceità per trattare dati personali secondo specifiche finalità. Solo in caso di esito positivo del test di bilanciamento sarà possibile utilizzare il legittimo interesse previsto dal GDPR come autonoma base giuridica.

Il test di bilanciamento degli interessi potrà, infatti, avere due differenti esiti:

  • prevale l'interesse dell'interessato e non può essere effettuato il trattamento
  • prevale l’interesse del titolare che legittimerà il trattamento, anche in assenza di consenso o di altre condizioni di liceità previste dall’art. 6 del Regolamento.

I fattori da considerare nel test di bilanciamento del legittimo interesse

All’interno dell’Opinion 6/2014, il documento redatto dal gruppo di lavoro dei Garanti Europei dedicato a questa tematica (lo puoi trovare qui), vengono elencati i fattori da considerare durante un Test di Bilanciamento degli interessi svolto dal titolare del trattamento.

I principali di cui tener conto sono:

  • se il trattamento sia realmente necessario tenendo conto del possibile pregiudizio che ne deriverebbe al titolare qualora non effettuasse il trattamento
  • l’impatto sugli interessati e la loro ragionevole aspettativa a proposito di ciò che accadrà ai loro dati personali
  • la presenza di misure addizionali di protezione dei dati che possano limitare gli impatti del trattamento sugli interessati
Iscriviti alla Newsletter di UTOPIA.

Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.

Iscrizione avvenuta con successo!
Ops! Qualcosa è andato storto. Ricarica la pagina e riprova...

La ragionevole aspettativa dell’interessato

L'interessato avrà delle aspettative su ciò che accadrà ai suoi dati personali, specialmente tenendo conto della natura e del modo in cui questi dati sono trattati. Con la definizione ragionevole aspettativa si intende sottolineare come sia altamente probabile - cioè ragionevole - che l’interessato manifesti tali aspettative.

È compito del titolare del trattamento interrogarsi su quali sono le aspettative di un interessato che ha fornito i propri dati personali rispetto al trattamento in essere e valutarne l’impatto. È fondamentale, inoltre, non sottovalutare il livello di rischio di un trattamento:

Ad esempio, l'interessato si aspetta che i suoi dati personali verranno diffusi pubblicamente o comunicati a un vasto numero di persone? Oppure che saranno trattati anche in combinazione con altri dati?

L’impatto sugli interessati

Valutare l'impatto di un trattamento significa considerare le conseguenze, attuali e potenziali, positive e negative, che questo potrebbe avere sugli interessati.

Per farlo, dobbiamo anche considerare che il livello di rischio di un trattamento non è sempre strettamente collegato al contenuto del dato stesso, ma anche dalla funzione che svolge.

Un esempio, anche se non collegato al legittimo interesse, è rappresentato dal registro delle presenze sul lavoro, un trattamento apparentemente non rischioso formato solo da numero di badge e orario di entrata/uscita.

Tuttavia, la semplice assenza, indisponibilità, di quel dato o la sua mancata integrità possono produrre conseguenze molto negative sul lavoratore come un’errata o mancata retribuzione. Per approfondire questo tema, i considerando 75 e 85 del regolamento forniscono un elenco dei possibili impatti negativi di un trattamento.

La presenza di misure addizionali per limitate l'impatto

Oltre all’impatto è fondamentale verificare tutte le fonti di rischio per la sicurezza del trattamento e tenere conto, oltre alle conseguenze materiali, del numero dei possibili interessati coinvolti. Anche se gli interessati sono pochi, è comunque necessario procedere con un test di bilanciamento.

La presenza di misure di sicurezza tecniche, come la pseudonimizzazione, od organizzative potrebbero aiutare a ridurre i rischi di un determinato trattamento, ma spesso non sono sufficienti a superare un eventuale sbilanciamento tra l'interesse del titolare e quello degli interessati.

Procedere con il test di bilanciamento degli interessi, quindi, è un’operazione obbligatoria per applicare il legittimo interesse come base giuridica di un trattamento.

 SCOPRI TUTTE LE NEWS SUL GDPR

Leggi il nostro blog

Unisciti ad altri appassionati di privacy e ricevi subito l’Infografica sull’Accountability documentale, oltre alle novità sul mondo dei dati personali direttamente nella tua e-mail. Una volta al mese, niente SPAM.

Grazie per esserti iscritto alla nostra newsletter.
Presto riceverai una mail con l'Infografica sull'Accountability documentale! 👈🏼
Ops! Qualcosa è anadato storto durante l'invio della richiesta.