PER TRATTARE I DATI PERSONALI SENZA IL CONSENSO DELL’INTERESSATO VA DIMOSTRATO IL LEGITTIMO INTERESSE DELL’AZIENDA

Si chiama LIA, dall’inglese “legitimate interest assessment”, ed è il documento che ogni azienda deve obbligatoriamente compilare per dimostrare il proprio legittimo interesse nel caso di trattamento dati senza il consenso degli interessati.

Ma quando va usato?

Diversi sono i casi, ad esempio: per la videosorveglianza aziendale nonché per molti trattamenti che coinvolgono i lavoratori dipendenti. In questi casi infatti risulta quasi impraticabile chiedere il consenso, o per squilibrio dei rapporti o per impossibilità di chiederlo o per impossibilità di acquisirlo. Non bisogna dimenticarsene, perché altrimenti scattano le sanzioni dei Garanti della privacy, ex art. 6 del regolamento Ue sulla protezione dei dati (Gdpr).

Ma quindi come si redige questa “Lia”? 

Parte 1: Base giuridica. Valutare e descrivere la base giuridica applicabile, prestando particolare attenzione alle descrizione delle motivazioni giuridiche per le quali non si può usare il consenso o altra condizione di liceità del trattamento (es. impossibilità di recepirlo).

Parte 2: Qualificazione dell’interesse. Argomentare e motivare la “legittimità” dell’interesse, descrivendo in positivo le ragioni dell’impresa. Per essere considerato legittimo un interesse deve soddisfare cumulativamente le seguenti condizioni: essere lecito (cioè in conformità con il diritto dell’Ue e nazionale); essere chiaramente articolato da consentire di effettuare il test di bilanciamento rispetto agli interessi e ai diritti fondamentali dell’interessato; rappresentare un interesse reale e presente (cioè non essere speculativo).

Parte 3: Principio di necessità. Determinare e se il trattamento sia necessario per raggiungere l’interesse perseguito considerando se esistono altri mezzi meno invasisi per raggiungere lo scopo identificato del trattamento e servire l’interesse legittimo del titolare del trattamento.

Parte 4: Bilanciamento provvisorio. Nella parte quattro si verifica e stabilisce un’ipotesi di bilanciamento nella quale si valuta se l’interesse del titolare del trattamento prevalga sui diritti o sugli interessi fondamentali degli interessati. L’impresa deve: considerare la natura degli interessi del responsabile del trattamento (diritto fondamentale, altro tipo di interesse, interesse pubblico); valutare l’eventuale pregiudizio subito dal titolare, da terzi o dalla comunità più ampia qualora il trattamento dei dati non abbia luogo; tenere conto della natura dei dati (sensibili in senso stretto o più ampio?); considerare lo status dell’interessato (minore, dipendente, ecc.) e del responsabile del trattamento (ad es. se un’organizzazione aziendale si trova in una posizione dominante sul mercato); prendere in considerazione il modo in cui i dati vengono elaborati (su larga scala, data mining, profilazione); identificare i diritti e/o gli interessi fondamentali dell’interessato; considerare le ragionevoli aspettative degli interessati; valutare gli impatti sull’interessato e confrontarli con il beneficio atteso dal trattamento da parte del titolare del trattamento.

Parte 5: Bilanciamento finale. A questo punto si arriva al bilanciamento finale tenendo conto di ulteriori salvaguardie. In questa fase l’impresa valuta se identificare e attuare adeguate garanzie aggiuntive derivanti dall’obbligo di diligenza e diligenza quali: minimizzazione dei dati (ad esempio limitazioni rigorose alla raccolta dei dati o cancellazione immediata dei dati dopo l’uso); misure tecniche e organizzative per garantire che i dati non possano essere utilizzati per prendere decisioni o altre azioni nei confronti delle persone (“separazione funzionale”); ampio uso di tecniche di anonimizzazione, aggregazione di dati, tecnologie che migliorano la privacy, privacy by design, privacy e valutazioni d’impatto sulla protezione dei dati; maggiore trasparenza, diritto generale e incondizionato di opposizione (opt-out), portabilità dei dati e relative misure per conferire potere agli interessati.

Parte 6: Conformità e trasparenza. Svolto il necessario bilanciamento occorre dimostrare la conformità e garantire la trasparenza. Ciò riguarda sia le informative (obbligatorie) agli interessati sia la documentazione. Sotto il primo profilo si devono informare gli interessati dei motivi per ritenere che l’equilibrio penda a favore del responsabile del trattamento. Sotto il secondo profilo l’impresa avrà cura di tenere la documentazione a disposizione delle autorità di protezione dei dati.

Parte 7: Opposizione. A conclusione del documento va disciplinato il diritto dell’interessato di opporsi a tale trattamento, perché se è vero che in alcuni casi, dimostrato il legittimo interesse del titolare, il trattamento può avvenire senza il consenso, è pur sempre vero che gli interessati, in qualsiasi momento, possano opporsi a tale trattamento, bloccandone, di fatto, l’operatività. Nel caso in cui ciò avvenga, è opportuno che l’impresa garantisca che sia in atto un meccanismo adeguato e di facile utilizzo per rivalutare l’equilibrio per quanto riguarda la persona interessata e interrompere il trattamento dei suoi dati se dalla rivalutazione emerge che prevalgono i suoi interessi.

Qualora sia previsto un diritto incondizionato di opt-out come garanzia aggiuntiva, o perché ciò è altrimenti ritenuto una garanzia aggiuntiva necessaria o utile, nel caso in cui l’interessato si opponga al trattamento, dovrebbe essere garantito che tale scelta sia rispettata a mera richiesta, senza la necessità di compiere ulteriori passi o valutazioni.