La base giuridica del legittimo interesse consente di fondare un’attività di trattamento di dati comuni per il perseguimento di un legittimo interesse perseguito da parte del titolare del trattamento o di un terzo, purché non prevalgano interessi, diritti o libertà fondamentali dell’interessato cui tali dati si riferiscono. A titolo di esempio, il considerando n. 47 GDPR cita il trattamento dei dati personali per finalità di prevenzione delle frodi o di marketing diretto, mentre il considerando n. 48 GDPR cita la trasmissione di dati per fini amministrativi interni fra titolari del trattamento facenti parte dello stesso un gruppo imprenditoriale. Viene invece escluso che le autorità pubbliche possano fondare su tale base giuridica le attività svolte per l’esecuzione dei propri compiti.
Il transito da un piano di definizione meramente teorico ad un’applicazione pratica è una questione di metodo, ed una proposta a tale riguardo è stata elaborata da parte dall’Autorità di controllo del Regno Unito (ICO), che suggerisce di operare il c.d. “three-part test” (Purpose, Necessity, Balancing).
Prima di tutto va difatti individuato e definito lo scopo perseguito da parte del titolare del trattamento (o di un terzo), individuando esattamente la finalità che poi dovrà essere indicata sia nelle informazioni da rendere agli interessati sia all’interno dei registri delle attività di trattamento. L’identificazione del legittimo interesse, è bene ricordare, va sempre riferita alle «ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare» (considerando n. 47 GDPR) che abbia luogo un trattamento a tale finalità che deve avere inoltre carattere di liceità, specificità ed attualità.
La valutazione di necessità dell’attività di trattamento richiede un’analisi ulteriore di pertinenza ed appropriatezza dei dati raccolti e dell’attività svolta rispetto alle finalità da perseguire. In tale sede è svolta la valutazione di eventuali alternative con un minore impatto per gli interessati. L’analisi così condotta deve inevitabilmente tenere conto dei criteri della natura, dell’ambito di applicazione del trattamento, del contesto e delle finalità perseguite, nonché dell’esito di una valutazione dei rischi (intrinseci e residui) per i diritti e le libertà delle persone fisiche.
L’operazione di bilanciamento, da ultima, va operata tenendo conto degli «interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali» secondo il criterio della non prevalenza in favore dell’interessato. Tale criterio va interpretato in un senso ampio ed esteso, come un generale interesse (ovviamente di natura lecita) oppositivo rispetto allo svolgimento dell’attività di trattamento da parte del titolare, e dunque occorre valutare le circostanze dell’attività di trattamento, la natura dei dati trattati, nonché delle ragionevoli aspettative nutrite da parte degli interessati e dell’impatto del trattamento tenendo anche delle misure di salvaguardia adottate da parte del titolare del trattamento. Nel novero di tali misure di salvaguardia possono rientrare, ad esempio, tutti quei presidi predisposti per rafforzare l’esercizio dei diritti (ad es. la garanzia di un opt-out agevolato), contenere l’impatto nei confronti di interessati vulnerabili (ad es. minori) o garantire una maggiore trasparenza delle attività di trattamento.
La valutazione del legittimo interesse non richiede dunque quel “grande ingegno” di ermetica memoria, bensì piuttosto operare un’accurata alchimia (certamente ricorrendo a metriche, misure, dovizia e impegno) fra i contrapposti interessi del titolare e degli interessati già a partire dalla progettazione delle attività di trattamento.
