Il legittimo interesse alla prova dei fatti: gli errori da evitare secondo il nuovo report EDPB

Il legittimo interesse è spesso considerato, a torto, la base giuridica più flessibile del GDPR. Per anni, infatti, l’articolo 6(1)(f) del GDPR è stato trattato come una sorta di “scialuppa di salvataggio” o un passe-partout per giustificare le attività di marketing, la prevenzione delle frodi o l’implementazione di nuovi software di tracciamento. Ma questa percezione di estrema flessibilità è un’illusione particolarmente insidiosa.

Per fare chiarezza sulla sua applicazione pratica, il Comitato Europeo per la Protezione dei Dati (EDPB) ha recentemente analizzato le decisioni assunte dalle Autorità Garanti nazionali tramite il meccanismo di cooperazione “One-Stop-Shop” (OSS).

Esaminiamo nel dettaglio i nodi sistemici portati alla luce dal Comitato, evidenziando l’ineludibile urgenza di un radicale cambio di paradigma organizzativo.

Il tramonto delle clausole di stile: l’obbligo di precisione tassativa e il nuovo rigore semantico

Il primo vizio strutturale che invalida l’impianto logico-giuridico delle difese aziendali risiede nella genericità delle finalità dichiarate. Ai fini dell’operatività del legittimo interesse, il dettato normativo europeo impone il superamento di un rigoroso three-part test cumulativo: l’organizzazione deve (i) individuare un interesse concreto, lecito e attuale (del Titolare o di terzi), (ii) dimostrare il requisito di stretta necessità del trattamento per il suo perseguimento, e (iii) provare che tale ingerenza non pregiudichi le libertà e i diritti fondamentali dell’interessato.

La prassi operativa e documentale registra, tuttavia, un diffuso ricorso a boilerplate clauses (clausole di stile) caratterizzate da un’ampiezza semantica del tutto elusiva. L’EDPB censura severamente tale modus operandi: l’utilizzo di locuzioni quali «misurare le prestazioni dei contenuti» o «applicare ricerche di mercato per generare insight sul pubblico» integra un’ipotesi di illegittimità per difetto di specificità. Tale indeterminatezza, infatti, inibisce all’utente l’effettiva comprensione delle logiche di trattamento, minandone la necessaria consapevolezza.

In diritto la forma è posta a presidio della sostanza: in assenza di un interesse circoscritto con precisione tassativa, l’intera base giuridica decade ab origine, rendendo giuridicamente inammissibile – e dunque superfluo – il successivo balancing test.

Il divieto di “sanatoria” ex post: la retroattività tra regola aurea e rarissime eccezioni giurisprudenziali

Un tema di cruciale rilevanza, specialmente nelle due diligence sui data asset, è la cosiddetta “sanatoria” delle basi giuridiche. Cosa accade se il management scopre che il database aziendale si fonda su un consenso viziato o su un’interpretazione contrattuale inesatta? È possibile invocare, ex post, il legittimo interesse per “salvare” l’archivio?

L’orientamento maggioritario delle Autorità europee pone un veto rigoroso: il legittimo interesse non è retroattivo. Modificare in corsa l’architettura legale è, di regola, illecito, poiché lede ab origine il diritto all’informazione dell’interessato e lo priva retroattivamente del diritto fondamentale di opt-out.

Tuttavia, nel diritto come nella migliore tradizione interpretativa, gli assolutismi sono rari. Il report dell’EDPB rivela, infatti, un’eccezione giurisprudenziale di estremo fascino: il caso di una ride-hailing company esaminato dall’Autorità estone. In questa peculiare vicenda, il Garante ha eccezionalmente avallato il cambio retroattivo della base giuridica a favore del legittimo interesse. La ratio di tale apertura risiede in un dettaglio fattuale determinante: la preesistente Privacy Policy, seppur tecnicamente lacunosa e inadeguata, menzionava già – in via generale – il legittimo interesse per finalità di sicurezza. Pertanto, integrando l’informativa ed esibendo una rigorosa e formale valutazione (LIA) rielaborata, la società è riuscita a dimostrare la liceità pregressa e a sanare il proprio patrimonio informativo.

Questo precedente, pur preziosissimo per i legal counsel, non deve trasformarsi in un alibi per i Board. La sanatoria ex post non è un diritto automatico, ma una complessa e rischiosa operazione probatoria, concessa solo qualora sussista un “embrione” documentale preesistente. Il monito resta inequivocabile: l’adeguatezza organizzativa esige che l’architettura giuridica di ogni progetto d’impresa sia resa inattaccabile ab origine. Affidarsi a sanatorie ex post rappresenta un azzardo temerario, foriero di un’altissima esposizione a profili di responsabilità sanzionatoria e patrimoniale.

Oltre il paradigma della sicurezza: geolocalizzazione, minimizzazione dei dati e gestione delle flotte aziendali

Nel diritto continentale, l’ingerenza nella sfera privata è tollerata esclusivamente come extrema ratio. Nelle dinamiche d’impresa, tuttavia, si cede sovente alla tentazione di elevare la sicurezza aziendale o la salvaguardia patrimoniale a dogmi assoluti, invocandoli come esimenti per legittimare qualsivoglia intrusione.

I Garanti europei, tuttavia, applicano il vaglio di necessità con rigore: se il fine aziendale (che sia la tutela del patrimonio o l’antifrode) può essere perseguito con mezzi meno lesivi per l’interessato, il trattamento dei dati sconfina ipso iure nell’illiceità.

Lo riscontriamo con chiarezza in contesti di ordinaria amministrazione. La prevenzione delle frodi alberghiere, ad esempio, non giustifica in alcun caso la conservazione della fotografia dell’ospite, potendo la struttura ricettiva tutelarsi agevolmente tramite l’esibizione di un documento di identità. Parimenti, imporre l’acquisizione del recapito telefonico per finalità di assistenza alla clientela cede il passo all’alternativa, assai meno invasiva, della corrispondenza elettronica.

Ma è sul terreno del monitoraggio delle flotte aziendali e della micromobilità condivisa – settore in cui la tutela degli asset incontra la gestione massiva dei dati – che l’esegesi del Comitato Europeo si fa più nitida, offrendo una vera e propria masterclass giurisprudenziale sulle dinamiche del bilanciamento dei diritti.

Il primo scenario analizzato è quello oggetto di severe censure da parte dell’Autorità francese. Al fine di prevenire i furti, un’azienda di autonoleggio raccoglieva i dati di geolocalizzazione delle vetture a intervalli di 500 metri, nonché a ogni accensione o spegnimento del motore e all’apertura degli sportelli. Con la medesima ratio, un operatore di monopattini elettrici registrava la posizione di ciascun mezzo ogni 30 secondi di utilizzo. In entrambi i casi, l’Autorità ha giudicato la raccolta e la successiva conservazione (estesa fino a 24 mesi) del tutto eccessive e sproporzionate rispetto alla finalità dichiarata.

A fondamento di tale rigore vi è la natura intrinsecamente iper-sensibile del dato di posizione. Richiamando quanto espresso dalle Linee guida EDPB 1/2020, «i dati sulla posizione sono particolarmente rivelatori delle abitudini di vita degli interessati. I viaggi intrapresi sono molto caratteristici in quanto consentono di dedurre il luogo di lavoro e di residenza, nonché i centri di interesse (tempo libero) di un guidatore, e possono eventualmente rivelare informazioni sensibili come la religione attraverso i luoghi di culto, o l’orientamento sessuale attraverso i luoghi visitati. Di conseguenza, il produttore del veicolo e dell’attrezzatura, il fornitore di servizi e altri titolari del trattamento dei dati dovrebbero essere particolarmente vigili nel non raccogliere dati sulla posizione se non quando ciò è assolutamente necessario per le finalità del trattamento», pertanto l’Autorità ha stabilito che sotto l’egida della prevenzione, queste società ponevano in essere una sorveglianza di massa inammissibile (cfr. EDPBI:FR:OSS:D:2022:430 e EDPBI:FR:OSS:D:2023:697).

Di segno diametralmente opposto, e di innegabile eleganza ingegneristica e legale, è un secondo caso esaminato dall’Autorità estone. Un’impresa di noleggio necessitava di inibire la guida in tandem (due passeggeri sul medesimo monopattino), prassi vietata per inderogabili ragioni di sicurezza e incolumità stradale. Invece di cedere all’uso di monitoraggi invasivi come la videosorveglianza, l’azienda ha implementato una soluzione basata sulla misurazione del carico. Qualora il sensore rilevi in corsa un peso superiore di 1,4 volte il peso mediano registrato per quello specifico utente nei viaggi precedenti, il software deduce la presenza di un passeggero non autorizzato e invia un avvertimento. Il Garante ha validato con favore questa declinazione del legittimo interesse (cfr. EDPBI:EE:OSS:D:2023:785), ritenendolo il perfetto esempio di data minimization.

La misura, infatti, è stata ritenuta proporzionata, aderente alle ragionevoli aspettative dell’utente (il quale è consapevole del divieto) e, soprattutto, meno invasiva rispetto ad altre tecnologie. Un elemento decisivo per la liceità del trattamento è stata l’assenza di automatismi pregiudizievoli: il sistema si limitava a inviare un avviso, senza bloccare fisicamente il monopattino e senza limitare in alcun modo l’utente, escludendo così in radice l’applicazione delle stringenti tutele previste dall’articolo 22 del GDPR sulle decisioni interamente automatizzate.

Credito e gestione dei debitori: l’impatto reputazionale

L’analisi del Comitato si estende, da ultimo, alle delicate dinamiche afferenti alla tutela del credito e alle prassi operative di debt collection. Se è dogmaticamente pacifico che tutelare le proprie ragioni creditorie integri un inoppugnabile interesse legittimo, l’ostensione telematica delle generalità dei debitori ha generato una profonda e irrisolta spaccatura in seno alle Autorità europee.

Da un lato, si registra un orientamento dal marcato rigore garantista: Garanti quali quelli di Estonia e Repubblica Ceca hanno fermamente censurato la pubblicazione online dei dati dei morosi. Secondo tale impostazione, la gogna mediatica trasmoda nell’abuso, esponendo l’inadempiente a un irragionevole stigma e a un concreto pericolo di emarginazione sociale e lavorativa, che non può in alcun modo soccombere dinanzi alle prerogative puramente patrimoniali del creditore.

Dall’altro lato, tuttavia, il report evidenzia orientamenti di segno diametralmente opposto, fortemente ancorati alla tutela dell’impresa e alla certezza dei traffici giuridici. È il caso emblematico della Polonia, la cui giurisprudenza amministrativa e la prassi dell’Autorità Garante avallano la prassi di pubblicare online i dati dei debitori. La ratio di questa apertura è lapidaria: il diritto alla protezione dei dati non può essere invocato in malafede quale scudo pretestuoso per eludere le proprie obbligazioni patrimoniali. Così facendo, argomenta l’Autorità polacca, si finirebbe per paralizzare le legittime facoltà di recupero del creditore, minando alla base la stabilità del sistema finanziario e il principio di libera concorrenza.

Il precipitato logico di questa dicotomia è un monito inequivocabile per i Legal Counsel chiamati a gestire operazioni cross-border. Nel delicato balancing test tra l’inviolabilità della sfera privata e l’esigibilità dei crediti commerciali, l’Unione Europea non offre una risposta univoca. La liceità delle strategie di recupero muta radicalmente a seconda della giurisdizione di riferimento, imponendo alle multinazionali di rifuggire da approcci centralizzati e di implementare una compliance rigidamente geolocalizzata.

Conclusioni

La disamina conclusiva offerta dal documento dell’EDPB restituisce una radiografia delle attuali prassi societarie. L’aspetto di maggior interesse giuridico è che, nella quasi totalità dei procedimenti analizzati, l’interesse astrattamente invocato dal Titolare viene pur sempre riconosciuto come teoricamente lecito dalle Autorità. Il vizio genetico che conduce alla sanzione risiede altrove: nell’incapacità cronica di superare i vagli di necessità e bilanciamento, o, ancor più gravemente, nell’assoluta assenza di una formale valutazione preventiva.

Il monito dei Garanti europei traccia una linea netta: giustificare un trattamento dei dati solo a posteriori, magari a ispezione già iniziata, è una prassi illegittima e severamente sanzionata. Il vizio strutturale maggiormente colpito dalle Autorità è l’avvio delle operazioni aziendali senza aver prima redatto e documentato una formale Valutazione del Legittimo Interesse (LIA).

Questa omissione organizzativa genera un inevitabile effetto a catena. Senza un’analisi preventiva, si tradiscono le ragionevoli aspettative degli utenti e si violano direttamente gli obblighi di trasparenza imposti dagli artt. 13 e 14 del GDPR. Un rischio legale che si moltiplica esponenzialmente quando le operazioni digitali o di marketing incrociano i rigidi paletti della Direttiva ePrivacy.

Il principio di responsabilizzazione (accountability) esige che la liceità del trattamento sia dimostrabile sin dal primo giorno.

In Studio, il nostro approccio è orientato esclusivamente alla soluzione concreta. Il nostro obiettivo non è mai quello di bloccare o rallentare le vostre iniziative di business, le campagne commerciali o le misure a tutela del patrimonio aziendale, ma di fornirvi l’impalcatura legale necessaria per renderle inattaccabili in caso di controlli.

Siamo al vostro fianco per supportare la Direzione e i reparti operativi nella tempestiva redazione di queste valutazioni preventive. Vi aiutiamo a trasformare la conformità privacy da un insidioso rischio sanzionatorio a un solido strumento di competitività, garantendo che ogni vostro progetto possa svilupparsi nella più totale sicurezza giuridica.