Nel GDPR, la verifica sul legittimo interesse fa espressamente parte dei doveri di accountability del titolare dei trattamenti, il quale deve provvedere autonomamente alla valutazione. Entra quindi nel novero di quelle attività in cui si applica il principio di responsabilizzazione.
Il tema che si vuole affrontare in questo articolo è capire se e a quali condizioni sarebbe possibile fare trattamenti per finalità commerciale nei confronti dei propri clienti, sulla base del “legittimo interesse” imprenditoriale.
Indice degli argomenti
Il contesto normativo
Del “legittimo interesse” si è parlato già ai tempi della direttiva 95/46/Ce (art. 7, lett. f), ma nella normativa di recepimento la sua applicazione era stata condizionata a un provvedimento preventivo del Garante (d.lgs. n. 196/2003, art. 24, comma 1, lett. g), e quindi – almeno nel nostro ordinamento – è stato utilizzato in un numero limitato di casi.
Alla luce del GDPR, il “legittimo interesse” costituisce una delle basi giuridiche per svolgere trattamenti dei dati personali. Nel sistema definito dal Regolamento, non esiste una gerarchia tra le diverse basi giuridiche e il medesimo trattamento può fondarsi su più basi giuridiche allo stesso tempo (v. l’art. 6, par. 1, secondo il quale per la liceità del trattamento deve ricorrere “almeno una” delle basi giuridiche).
Il “legittimo interesse” non deve dunque essere considerato né uno strumento residuale ed eccezionale, applicabile quando non si possa ricorrere ad altre basi giuridiche, né una soluzione per giustificare sempre e comunque i trattamenti.
Vi è tuttavia una caratteristica che può rendere preferibile la base del “legittimo interesse” nei casi in cui il ricorso ad altre basi – come l’esecuzione di un contratto o di un obbligo di legge – possa essere dubbia.
Il “legittimo interesse” richiede un bilanciamento con i diritti e le libertà degli interessati e l’adozione di misure di garanzia, tra le quali possono rientrare forme specifiche di trasparenza, presidii per attenuare l’impatto dei trattamenti, il diritto di opt-out ecc. Il “legittimo interesse” può così costituire una clausola “malleabile” per adattarsi ai casi concreti garantendo la massima tutela degli interessati.
Marketing e legittimo interesse
In termini generali, il “legittimo interesse” può avere anche natura commerciale e riguardare per l’appunto l’attività di marketing. Quest’ultima costituisce un normale svolgimento dell’attività d’impresa e risponde dunque a un interesse in sé “legittimo”.
Ciò trova una conferma esplicita nel Regolamento (v. in fine al considerando 47: «Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto»; ciò sembra superare le posizioni più restrittive, per le quali il “legittimo interesse” poteva essere solo quello che in un modo o nell’altro fosse fondato sulla legge.
Vi è però una notevole varietà di situazioni concrete, rapporti coinvolti e tipologie di marketing – es., profilato o meno e in gradi differenti, automatizzato o meno ecc. – dal che, occorre una verifica specifica secondo l’ipotesi di comunicazione commerciale.
Tale verifica può essere effettuata seguendo lo schema di analisi a suo tempo elaborato dal Gruppo 29 in relazione alla disposizione corrispondente della direttiva 95/46/Ce (Opinion n. 6/2014, Annex 1), attesa la perdurante attualità di molte delle situazioni esaminate in detto schema (in tal senso, v. del medesimo Gruppo 29, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251rev.01, par. B.6).
La verifica implica anzitutto una riflessione sulle basi giuridiche applicabili. Ad esempio, le informazioni su prodotti e servizi potrebbero astrattamente rientrare anche nell’obbligo di esecuzione del contratto, per lo meno in tutti i casi in cui l’informazione al cliente possa ricondursi ai generali obblighi di buona fede ai quali sono tenuti le parti.
Potrebbe accadere per informative tecniche sulla disponibilità di nuove tecnologie o di formule tariffarie che consentano risparmi di spesa a parità di servizio.
Queste ipotesi, però, difficilmente potrebbero coprire l’intero ventaglio delle situazioni prospettabili.
Marketing e legittimo interesse: la verifica
Conviene dunque esaminare la possibilità di ricorrere al legittimo interesse del titolare esaminando punto per punto le questioni che possono sorgere in un’ipotesi tipica di contatti commerciali rivolti a interessati che siano già clienti del titolare.
- Il primo punto attiene all’esistenza di un legittimo interesse. Quello commerciale, come si è detto, può esserlo. Si può aggiungere che l’interesse deve essere concreto e suscettibile di un’articolazione chiara nel bilanciamento con gli interessi e i diritti degli interessati. Il “legittimo interesse”, più in particolare, può consistere nel fornire nell’ambito di uno specifico rapporto contrattuale informazioni commerciali pertinenti al medesimo rapporto per consolidarlo e svilupparlo.
- Per essere legittimo, l’interesse non deve in ogni caso violare specifiche disposizioni del diritto UE o nazionale. Da questo punto di vista, occorre comunque il rispetto della direttiva 2002/58/Ce e delle pertinenti norme di recepimento, dal che i trattamenti non potrebbero essere svolti nelle forme automatizzate che richiedono il consenso espresso (d.lgs. n. 196/2003, art. 130, salve le deroghe ivi previste) né in modo da violare il diritto di opposizione espresso ai sensi del diritto interno (v. anche la l. n. 5/2018).
- Occorre poi appurare se il trattamento sia necessario per perseguire il legittimo interesse e quindi tenere conto del principio di stretta necessità nella definizione delle modalità concrete del trattamento.
- Verificate le condizioni minime, è possibile svolgere il bilanciamento tra l’interesse del titolare e la posizione dell’interessato. A tal fine rilevano, tra le altre cose, la specifica tipologia dei dati e dei trattamenti coinvolti, l’entità e la direzione degli impatti sull’interessato (anche in termini di benefici), le aspettative che questi possa nutrire sullo svolgimento dei trattamenti, il grado di trasparenza assicurato.
– Va valutato anzitutto se i dati coinvolti siano “semplici” – non abbiano cioé natura “particolare”, non attengano a condanne e reati – e non abbiano comunque contenuti di particolare delicatezza. Non dovrebbero di regola essere coinvolti diritti fondamentali. Potrebbe accadere per i dati di contatto degli interessati e per aspetti legati al contratto con lo stesso e alle opzioni sottoscritte, che non evochino particolari aspetti della personalità.
– Occorre poi vedere se i trattamenti non presentino rischi elevati o comunque, secondo le loro specifiche modalità, se possano arrecare un disturbo rilevante alla sfera personale. Da questo punto di vista, i trattamenti non dovrebbero comunque prevedere la diffusione dei dati e neppure forme di profilazione “spinta”. I trattamenti dovrebbero poi condurre a benefici concreti per gli interessati, ad esempio attraverso l’adesione a formule contrattuali vantaggiose.
– I trattamenti dovrebbero essere rivolti solo a clienti, soggetti nei confronti dei quali sussiste dunque una “relazione pertinente” (v. il citato considerando 47 del Regolamento: «potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento»). Dal lato dei clienti, si può assumere che ciò, almeno entro certi limiti, renda il contatto commerciale non “inatteso”.
Essendovi le condizioni sopra illustrate, non dovrebbero esservi ostacoli di principio a inquadrare i trattamenti ipotizzati nell’ambito del legittimo interesse del titolare.
Su vari aspetti, però, potrebbe restare incerto il punto di equilibrio con i diritti e gli interessi dei destinatari dei contatti.
Ciò suggerisce di assumere sempre ulteriori cautele per circoscrivere il più possibile l’impatto sugli interessati e assicurare così la sicura prevalenza dell’interesse del titolare del trattamento.
Le misure da adottare
In primo luogo, i dati oggetto di trattamento devono essere limitati a quelli strettamente necessari allo scopo. I profili del contratto – ad esempio, le opzioni e promozioni attive – vanno considerate solo nella misura in cui occorra per indirizzare agli interessati comunicazioni utili.
In secondo luogo, i contatti dovrebbero essere limitati a offerte che possano essere ragionevolmente attese da un cliente in virtù del rapporto contrattuale esistente con l’azienda, che gli consentano di avere vantaggi concreti e senz’altro migliorativi sul rapporto in essere.
Le modalità del contatto non dovrebbero mai essere invasive. In ogni caso, la frequenza dei contatti nel tempo dovrebbe essere calibrata sempre sulle aspettative che si possono assumere nel cliente.
Agli interessati dovrebbe essere garantita la massima trasparenza sia in sede di informativa sia in sede di contatto commerciale. Sebbene i trattamenti basati sul “legittimo interesse” non sempre richiedano meccanismi di opt-out (si pensi a quelli per fini di difesa in giudizio, art. 21, par. 1, del Regolamento), nel caso dei trattamenti per finalità commerciali il “legittimo interesse” non può spingersi sino a imporre al cliente/interessato di ricevere le comunicazioni anche contro la sua volontà espressa.
Ciò, anche in ragione del generale diritto di opposizione ai trattamenti per finalità commerciali (art. 21, parr. 2-3, del Regolamento). In questo senso, il riconoscimento del diritto di opt-out, in modalità semplici, costituisce una condizione imprescindibile per garantire l’equilibrio tra i diritti (v. anche il considerando 69 del Regolamento).
Una misura finale di salvaguardia può consistere nello svolgere un monitoraggio specifico su eventuali segnalazioni/reclami provenienti dai clienti in reazione ai contatti commerciali, al fine di verificare sia le possibili deviazioni rispetto alle regole applicate e per confermare che le medesime comunicazioni rientrino nel perimetro dei comportamenti che i clienti si attendono sulla base del rapporto con il titolare del trattamento.
