La valutazione dell’interesse legittimo al trattamento dei dati personali alla luce della Legge di Bilancio 2018

A pochi mesi dalla diretta applicabilità del Regolamento UE 2016/679 in materia di protezione dei dati personali, in agenda per il prossimo 25 maggio 2018, il Legislatore italiano ha adottato una serie di interessanti prescrizioni in materia di privacy, contenute nei commi da 1020 a 1025 dell’art. 1, Legge di Bilancio 2018 (L. n. 205/2017), entrata in vigore lo scorso 1° gennaio 2018.

Ai commi 1022-1023 è previsto che il titolare del trattamento, “ove effettui un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati”, debba darne tempestiva comunicazione al Garante privacy prima di iniziare il trattamento, a mezzo di un’informativa in merito all’oggetto, alle finalità e al contesto del trattamento stesso. In assenza di risposta da parte del Garante nel termine di 15 giorni dall’invio dell’informativa, il titolare può procedere al trattamento.

Sulla base di tale informativa, il Garante aprirà un’istruttoria per valutare l’eventuale sussistenza di un rischio di lesione dei diritti e libertà degli interessati, nel qual caso disporrà l’inibitoria all’utilizzo dei dati.

Il Legislatore ha inoltre previsto che il Garante privacy definisca con proprio provvedimento le linee-guida o best practices in materia di trattamento dei dati personali fondato sull’interesse legittimo del titolare.

Tuttavia, il termine previsto per l’adozione di tale provvedimento, di due mesi dall’entrata in vigore della Legge di Bilancio, è ad oggi decorso senza alcun intervento da parte dell’Autorità di controllo.

Alcune osservazioni in merito alla disciplina appena descritta sono d’obbligo.

Merita anzitutto sottolineare che, mentre il Codice privacy italiano poneva il consenso dell’interessato come primaria condizione di liceità dei trattamenti di dati comuni, prevedendo poi una serie di “clausole di esonero”, sotto la vigenza del Regolamento europeo l’interesse legittimo del titolare assurge a base legale del trattamento al pari del consenso ed in alternativa a questo, a condizione che non prevalgano gli interessi o diritti dell’interessato in virtù del cd. “bilanciamento di interessi”.

Vi è di più. L’interesse legittimo del titolare dovrà essere preferito al consenso quale base legale del trattamento tutte le volte in cui non sia possibile per l’interessato prestare un consenso “libero”, come avviene ad esempio nell’ambito di un rapporto di lavoro subordinato.

Il Regolamento, tuttavia, non fornisce indicazioni contenutistiche circa il legittimo interesse del titolare, salvo fornire alcuni esempi specifici nei considerando da 47 a 49.

La valutazione del bilanciamento di interessi è interamente rimessa dal Regolamento direttamente in capo al titolare, in virtù del principio di responsabilizzazione, cuore della nuova disciplina privacy europea. Col rischio di incorrere in pesanti sanzioni qualora il fondamento scelto per il trattamento risulti illegittimo.

In questo quadro, la recente Legge di Bilancio è intervenuta per fornire un quadro interpretativo alle imprese, prevedendo l’intervento dell’Autorità di controllo mediante l’elaborazione di linee-guida cui attenersi in questa valutazione.

Resta tuttavia da valutare se la previsione di questo nuovo procedimento di comunicazione preventiva al Garante sia conforme o meno al Regolamento europeo, che già aveva provveduto ad eliminare gli istituti della notificazione e della verifica preliminare, sostituendoli con l’introduzione della valutazione del rischio (DPIA) ad opera del titolare del trattamento e subordinando l’intervento del Garante alla valutazione da parte del titolare stesso della sussistenza di un elevato rischio residuo.

Si attendono sul punto gli esiti della prossima produzione normativa ad opera del costituendo nuovo Governo italiano sulla base della Legge di Delegazione europea n. 163/2017.

Fino ad allora, ogni titolare che intenderà fondare un trattamento sul proprio legittimo interesse, dovrà darne comunicazione preventiva al Garante e, salvo risposta negativa da parte di quest’ultimo, informarne l’interessato, dandogli avviso altresì del suo diritto di opposizione a tale trattamento.