Il Legitimate Interest Assessment (LIA) nel digital advertising

Premesse. L’art. 6 paragrafo 1) lettera f) del Regolamento UE n. 2016/679 (GDPR) disciplina l’ultima delle (sei) basi giuridiche che legittimano il trattamento dei dati personali, e prevede, a tal fine, che l’interesse legittimo del Titolare del trattamento (o di un terzo soggetto a cui vengono comunicati i relativi dati personali) sia valutato, in ragione di un apposito test comparativo (definibile “LIA”: Legitimate Interest Assessment), rispetto agli interessi e ai diritti fondamentali del soggetto interessato[1]: esso, così come precisato nel Parere n. 6/2014 a firma del WP 29 (ora, EDPB), non deve essere inteso come un (estremo) rimedio per situazioni rare, difficili o impreviste né, tantomeno, si deve decidere di avvalersene in modo automatico (e, dunque, senza aver svolto, dapprima, una compiuta LIA) né, da ultimo, se ne deve ampliare, in modo indebito, l’utilizzo, in base all’erronea percezione che sia meno vincolante rispetto alla residuali basi giuridiche previste dall’art. 6 del GDPR.

1. Il Legitimate Interest Assessment nel settore del Digital Advertising. Tanto premesso, lo IAB Europe ha pubblicato, nel mese di marzo 2021, una (pratica ed utile) guida (denominata “GDPR Guidance: Legitimate Interests Assessment (LIA) for Digital Advertising”) volta ad aiutare – grazie ad un approccio standardizzato, fondato, tuttavia, sulle particolarità del trattamento (e dei relativi rischi) – a redigere la LIA nel settore della pubblicità digitale in generale (es. tech advertising; real time bidding), documento (o meglio, analisi legale) teso a valutare, in modo pieno e compiuto, una serie di fattori, affinché sia possibile garantire che gli interessi e i diritti fondamentali dei soggetti interessati siano (oggettivamente) tenuti nella debita e giusta considerazione.

A tal fine, la LIA è stata suddivisa in tre differenti sezioni, tra loro indissolubilmente interconnesse, così composte.

1.a. Purpose test. Tale analisi è volta ad individuare, in modo sufficientemente preciso e dettagliato, il legittimo interesse che si vuole perseguire – come così, peraltro, già affermato dall’ICO all’interno della propria guida in materia: “Dimostrare di avere un interesse legittimo significa, tuttavia, che tu (o una terza parte devi avere in mente qualche vantaggio o risultato chiaro e specifico. Non basta fare affidamento su interessi commerciali vaghi o generici. Devi pensare in modo specifico a ciò che stai cercando di ottenere con la particolare operazione di elaborazione” – unitamente ai relativi vantaggi e risultati che si intende perseguire, grazie al supporto, ove possibile, di analisi quantitative, statistiche o, comunque, di natura oggettiva (es. sondaggi; ricerche di mercato; focus group).

A tal fine, lo IAB ha elencato, in via non esaustiva, una serie di quesiti che il Titolare del trattamento deve porsi, onde così poter dimostrare di aver svolto, in modo completo, il purpose test in parola: “Qual è precisamente l’attività di elaborazione destinata a realizzare l’interesse legittimo, e quali modalità verranno utilizzate? Quali sono i vantaggi per l’impresa, i clienti o, in via eventuale, per le terze parti? Quali sono i vantaggi per i soggetti interessati o, ove possibile, della società nel suo insieme? Quale sarebbe l’impatto o la conseguenza se non venisse eseguita questa attività di elaborazione? Quale supporto, ivi incluse eventuali prove, può essere prodotto?”.

1.b. Necessity test. L’assessment in questione mira a valutare la necessità e la proporzionalità dell’attività di trattamento, rispetto al perseguimento del legittimo interesse individuato: in proposito, è stato osservato che il trattamento preso in considerazione non deve essere considerato assolutamente essenziale o, comunque, l’unico modo possibile per raggiunge l’interesse legittimo di specie, bensì deve essere espressione di un modalità precisa e proporzionata, nel rispetto, peraltro, del principio di minimizzazione ex art. 5 paragrafo 1) lettera c) del GDPR.

E’, dunque, necessario effettuare una valutazione approfondita, onesta ed obiettiva, fondata sulla formulazione di tre quesiti, individuati dallo IAB: “In che modo tale attività di trattamento aiuta effettivamente a raggiungere l’interesse legittimo individuato?; Il trattamento è proporzionato? Esistono alternative meno intrusive, fondate su un utilizzo minore (meno preciso o, addirittura, assente) di dati personali?”.

1.c. Balance test. Esso si fonda sul bilanciamento tra l’interesse legittimo da perseguire e gli interessi e i diritti fondamentali dei soggetti interessati, grazie all’analisi di tre principali aree individuate dallo IAB.

La prima di esse è costituita dalla valutazione (puntuale, ma generosa) del rischio potenziale (anche in termini di gravità e di probabilità) e del relativo impatto sul soggetto interessato derivante dall’attività di trattamento fondata sull’interesse legittimo identificato, e tenuto conto della prospettiva e delle ragionevoli aspettative di quest’ultimo: a tal riguardo, lo IAB ha elencato, all’interno dell’Appendice A), una serie di rischi da considerarsi comuni nel settore della pubblicità digitale, quali, ad esempio, l’imbarazzo, la divulgazione indesiderata, il disagio o comunque la sensazione di invasione della propria sfera di riservatezza personale e, infine, l’inibizione del (normale e naturale) comportamento.

Il risultato di tale analisi deve, poi, essere sottoposto al vaglio circa l’eventuale sussistenza di elementi aggravanti ovvero attenuanti, composti, in sostanza, dalla natura dei dati personali, dalla tipologia di relazione tra il Titolare del trattamento ed il soggetto interessato, dal contesto della raccolta dei dati (e, dunque, dalle ragionevoli aspettative dei soggetti interessati, da valutarsi in modo obiettivo) e, infine, dalle misure di salvaguardia poste in essere dal Titolare del trattamento.

A tal uopo, lo IAB ha, anche in tal caso, individuato una serie di quesiti da (auto) sottoporsi, quali: “Vengono trattati dati personali cd. particolari ex art. 9 paragrafo 1) del GDPR o dati personali cd. giudiziari ex art. 10 del GDPR? I dati riguardano soggetti vulnerabili? I dati riguardano elementi sull’ubicazione di una persona? I dati contengono informazioni sull’attività online dell’interessato ovvero informazioni demografiche o psicografiche? I dati sono stati resi anonimi? Qual è la natura del rapporto o collegamento con il soggetto interessato? In che modo sono stati raccolti o ricevuti i dati personali? Quali informazioni sono state fornite al soggetto interessato al momento della raccolta dei dati personali? Come si sentirebbe il soggetto interessato rispetto a questa attività di elaborazione? L’operazione di trattamento è nuova o è, comunque, coerente con quanto eseguito in passato? Qual è l’anzianità dei dati personali? Con quale probabilità i soggetti interessati si opporranno al trattamento o lo troveranno invadente? Qual è il periodo di conservazione dei dati personali? In che modo il soggetto interessato può esercitare i propri diritti previsti dal GDPR, in primis quello di opposizione? Qual è la politica di sicurezza applicata ai dati personali?”.

Infine, è necessario ultimare il test di bilanciamento mediante l’elaborazione di una decisione finale oggettiva (peraltro, da revisionare con cadenza periodica) volta a definire (e sancire) l’avvenuto superamento degli interessi legittimi perseguiti rispetto agli interessi e diritti fondamentali dei soggetti interessati, alla luce del complessivo risultato ottenuto dall’analisi delle precedenti sezioni, nonché in base agli orientamenti espressi, sul punto, dal WP 29 all’interno del citato Parere n. 6/2014, i quali, benché remoti, rimangono, invero, utili, validi e pertinenti.

[1] Cfr. Parere n. 6/2014 del WP 29 – paragrafo II.2): “I primi cinque criteri elencati all’articolo 7 [della Direttiva n. 46/95/CE] considerano motivi di liceità il consenso dell’interessato, l’accordo contrattuale, un obbligo legale o altri fondamenti espressamente indicati. Quando si basa su uno di questi cinque fondamenti, il trattamento è considerato legittimo a priori e pertanto è subordinato solo all’osservanza delle altre disposizioni normative applicabili. In altre parole, si presume che esista un equilibrio tra i differenti diritti e interessi in gioco, compresi quelli sia del responsabile  [titolare] del trattamento che dell’interessato”.