Base giuridica: Il diritto di opposizione e oltre...
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679 adottate il 3 ottobre 2017 Versione emendata e adottata in data 6 febbraio 2018
ALLEGATO 3 - Approfondimenti - Parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva95/46/CE
GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI
844/14/IT
WP217
III.2. Articolo 7, lettere da a) a e)
La presente sezione III.2 fornisce una breve panoramica di ciascuno dei fondamenti giuridici di cui all’articolo 7, lettere da a) a e), della direttiva, prima che, nella sezione III.3, il parere si concentri sull’articolo 7, lettera f). L’analisi evidenzierà inoltre alcune delle interfacce più comuni tra tali fondamenti giuridici, quali, ad esempio, “l’esecuzione di un contratto”, “l’adempimento di un obbligo legale” e “il perseguimento dell’interesse legittimo”, a seconda del contesto particolare e delle circostanze del caso.
III.3.6. Il diritto di opposizione e oltre
(a) Il diritto di opposizione ai sensi dell’articolo 14 della direttiva
L’articolo 7, lettera e), e l’articolo 7, lettera f), sono particolari nel senso che, pur basandosi essenzialmente su una valutazione oggettiva degli interessi e dei diritti in questione, permettono al contempo all’autodeterminazione dell’interessato di entrare in gioco con un diritto di opposizione103: almeno nel caso di questi due fondamenti giuridici, l’articolo 14, lettera a), della direttiva stabilisce che (“salvo disposizione contraria prevista dalla normativa nazionale”) la persona interessata può “opporsi in qualsiasi momento, per motivi preminenti e legittimi, derivanti dalla sua situazione particolare, al trattamento di dati che la riguardano”. Aggiunge che, se l’opposizione è giustificata, il trattamento non può più riguardare tali dati. In linea di principio, a norma della legislazione in vigore, l’interessato dovrà pertanto dimostrare “interessi preminenti e legittimi” per interrompere il trattamento dei suoi dati personali (articolo 14, lettera a)), fuorché nel contesto delle attività di invio di materiale pubblicitario, in cui non è necessario giustificare l’opposizione (articolo 14, lettera b)). Ciò non deve essere considerato in contraddizione con il test comparativo di cui all’articolo 7, lettera f), che è effettuato a priori: si tratta piuttosto di un’integrazione del bilanciamento, nel senso che, laddove il trattamento possa essere effettuato in seguito a una ragionevole e oggettiva valutazione dei differenti diritti e interessi in gioco, l’interessato ha comunque la possibilità supplementare di opporsi per motivi derivanti dalla sua situazione particolare. Di conseguenza dovrà essere effettuata una nuova valutazione che tenga conto delle specifiche argomentazioni addotte dall’interessato. In linea di principio tale valutazione sarà nuovamente sottoposta alla verifica di un’autorità di protezione dei dati o dei tribunali.
(b) Oltre l’opposizione: il ruolo della revoca come garanzia supplementare
Il Gruppo di lavoro sottolinea che, sebbene il diritto di opposizione di cui all’articolo 14, lettera a), debba essere giustificato dall’interessato, nulla vieta al responsabile del trattamento di offrire la possibilità di revocare il consenso che, oltre a costituire un’opzione più ampia, non comporterebbe la necessità di fornire una dimostrazione supplementare dell’interesse legittimo (preminente o di altro tipo) da parte dell’interessato. Non sarà necessario che tale diritto incondizionato si basi sulla situazione specifica degli interessati. Di fatto, e in particolare nei casi limite in cui è difficile bilanciare gli interessi e i diritti in gioco, un meccanismo di revoca adeguatamente strutturato ed efficace, pur non fornendo necessariamente agli interessati tutti gli elementi atti a soddisfare il requisito di un consenso valido a norma dell’articolo 7, lettera a), potrebbe svolgere un ruolo importante nella salvaguardia dei diritti e degli interessi degli interessati. A tal fine occorre adottare un approccio flessibile, che distingua i casi in cui è necessario un consenso esplicito ai sensi dell’articolo 7, lettera a), dai casi in cui un’opportunità praticabile di revocare il proprio consenso al trattamento (associata ad altre possibili misure supplementari) potrebbe contribuire a tutelare gli interessati ai sensi dell’articolo 7, lettera f). Quanto più ampiamente applicabile sarà il meccanismo di revoca del consenso e quanto più semplice sarà esercitarlo, tanto più tale meccanismo contribuirà a far pendere il bilanciamento a favore del trattamento al fine di trovare un fondamento giuridico nell’articolo 7, lettera f).
Esempio: l’evoluzione nell’approccio all’invio di materiale pubblicitario
Per illustrare in che modo si opera una distinzione tra i casi in cui è necessario un consenso a norma dell’articolo 7, lettera a), e i casi in cui si potrebbe ricorrere alla revoca quale garanzia ai sensi dell’articolo 7, lettera f), è utile avvalersi dell’esempio dell’invio di materiale pubblicitario, per cui l’articolo 14, lettera b), della direttiva prevede tradizionalmente una specifica disposizione di deroga al consenso. Per far fronte ai nuovi sviluppi tecnologici, questa disposizione è stata successivamente integrata da disposizioni specifiche nella direttiva relativa alla vita privata e alle comunicazioni elettroniche104 . Ai sensi dell’articolo 13 della direttiva relativa alla vita privata e alle comunicazioni elettroniche, per taluni tipi di attività (più invasive) di invio di materiale pubblicitario (quali la commercializzazione per posta elettronica e i dispositivi automatici di chiamata), il consenso è la norma. In deroga a tale disposizione, nei rapporti di clientela esistenti in cui un responsabile del trattamento pubblicizza i propri “analoghi” prodotti o servizi è sufficiente fornire una possibilità (incondizionata) di revoca del consenso senza giustificazione. In seguito all’evoluzione delle tecnologie è stato necessario ricorrere a soluzioni analoghe, relativamente semplici, basate su una logica simile per le nuove pratiche di invio di materiale pubblicitario. Innanzitutto, sono cambiate le modalità di invio del materiale pubblicitario: anziché semplici e-mail spedite alle caselle di posta elettronica, ora compaiono anche annunci comportamentali mirati sugli smartphone e sugli schermi dei computer. Nel prossimo futuro, gli annunci pubblicitari potranno anche essere integrati in oggetti intelligenti connessi nell’ambito dell’Internet degli oggetti. In secondo luogo, gli annunci pubblicitari stanno diventando sempre più specificamente mirati: anziché basarsi sui semplici profili dei clienti, le attività dei consumatori sono sempre più frequentemente tracciate e conservate online e offline nonché analizzate con sistemi automatizzati più sofisticati105 . A seguito di tali sviluppi, l’oggetto del test comparativo è cambiato: non si tratta più di valutare il diritto alla libertà di espressione commerciale, ma sostanzialmente gli interessi economici delle organizzazioni imprenditoriali di conoscere i loro clienti tracciandone e controllandone le attività online and offline, che devono essere bilanciati con i diritti (fondamentali) alla vita privata e alla tutela dei dati personali di tali persone e il loro interesse a non essere indebitamente controllate.
Questo cambiamento nei modelli commerciali prevalenti e il maggior valore attribuito ai dati personali quale risorsa per le organizzazioni imprenditoriali spiega il recente obbligo del consenso in quest’ambito, conformemente all’articolo 5, paragrafo 3, e all’articolo 13 della direttiva relativa alla vita privata e alle comunicazioni elettroniche. Esistono pertanto regole specifiche differenti, a seconda della forma di commercializzazione, tra cui: - il diritto incondizionato a opporsi all’invio di materiale pubblicitario (concepito per il contesto tradizionale di invio per posta e per la commercializzazione di prodotti simili) ai sensi dell’articolo 14, lettera b), della direttiva; in tal caso il fondamento giuridico potrebbe essere l’articolo 7, lettera f); - l’obbligo del consenso a norma dell’articolo 13 della direttiva relativa alla vita privata e alle comunicazioni elettroniche per l’uso di sistemi automatizzati di chiamata, fax, messaggi di testo e commercializzazione per posta elettronica (salvo eccezioni) 106 e l’applicazione de facto dell’articolo 7, lettera a), della direttiva sulla protezione dei dati; - l’obbligo del consenso di cui all’articolo 5, paragrafo 3, della direttiva relativa alla vita privata e alle comunicazioni elettroniche (e all’articolo 7, lettera a), della direttiva sulla protezione dei dati) per la pubblicità comportamentale basata su tecniche di tracciamento come i cookie che archiviano informazioni nel terminale dell’utente107 . Sebbene i fondamenti giuridici applicabili siano chiari per quanto riguarda l’articolo 5, paragrafo 3, e l’articolo 13 della direttiva relativa alla vita privata e alle comunicazioni elettroniche, non tutte le forme di invio di materiale pubblicitario sono contemplate e sarebbe auspicabile disporre di orientamenti sulle situazioni per le quali occorre fornire il consenso di cui all’articolo 7, lettera a), e sulle situazioni per cui è stato raggiunto un equilibrio ai sensi dell’articolo 7, lettera f), compresa la possibilità di revoca. A tale proposito è utile ricordare il parere del Gruppo di lavoro sul principio di limitazione delle finalità, in cui si afferma a chiare lettere che, “quando un’organizzazione vuole espressamente analizzare o prevedere le preferenze personali, il comportamento e le intenzioni dei singoli clienti, che successivamente informeranno 'le misure o le decisioni' adottate riguardo a tali clienti [...], sarà quasi sempre necessario ottenere un consenso libero, specifico, informato e inequivocabile, altrimenti l’uso successivo non potrà essere considerato compatibile. È importante sottolineare che tale consenso deve essere ottenuto, per esempio, per scopi di tracciamento e profilazione a fini di invio di materiale pubblicitario, pubblicità comportamentale, intermediazione di dati, pubblicità basata sulla localizzazione o ricerche di mercato digitali basate sul tracciamento108”
Alternative ai servizi online “gratuiti” compatibili con la protezione dei dati
In un contesto in cui i clienti che sottoscrivono servizi online “gratuiti” di fatto “pagano per” tali servizi autorizzando l’utilizzo dei loro dati personali, contribuirebbe a sua volta a una valutazione favorevole del bilanciamento, o al riscontro dell’effettiva libertà di scelta del consumatore e pertanto del valido consenso da esso fornito ai sensi dell’articolo 7, lettera a), se il responsabile del trattamento offrisse anche una versione alternativa dei suoi servizi, in cui i “dati personali” non fossero utilizzati a fini di commercializzazione. Finché tali servizi alternativi non saranno disponibili, sarà più difficile sostenere che è stato manifestato un consenso valido (liberamente espresso) ai sensi dell’articolo 7, lettera a), attraverso il semplice utilizzo di servizi gratuiti o che l’equilibrio degli interessi di cui all’articolo 7, lettera f), deve essere ottenuto a favore del responsabile del trattamento. Le precedenti considerazioni evidenziano il ruolo importante che le garanzie supplementari, compreso un meccanismo efficace di revoca del consenso al trattamento, potrebbero svolgere nella modifica del bilanciamento provvisorio. Al tempo stesso, suggeriscono altresì che, in alcuni casi, l’articolo 7, lettera f), non può essere invocato come fondamento giuridico per il trattamento e che i responsabili del trattamento devono garantire un consenso valido ai sensi dell’articolo 7, lettera a), oppure ottemperare ad alcune altre condizioni della direttiva, affinché possa essere effettuato il trattamento.
Portabilità dei dati, “Midata” e questioni correlate
Tra le garanzie supplementari che potrebbero contribuire a far pendere il bilanciamento in un senso o nell’altro deve essere accordata una particolare attenzione alla portabilità dei dati e alle misure correlate, che potrebbero acquisire sempre maggiore importanza in un ambiente online. Il Gruppo di lavoro rimanda al suo parere sul principio di limitazione delle finalità, in cui ha sottolineato che “in molte situazioni, garanzie quali permettere agli interessati/ai clienti di accedere direttamente ai loro dati in un formato portabile, di facile utilizzo e leggibile meccanicamente potrebbe contribuire a responsabilizzarli e a ridurre lo squilibrio economico tra grandi società da una parte e interessati/consumatori dall’altra. Permetterebbe inoltre alle persone di 'condividere la ricchezza' creata dai megadati e incentiverebbe gli sviluppatori a offrire applicazioni e caratteristiche aggiuntive ai loro utenti109”. La disponibilità di meccanismi efficaci volti a permettere agli interessati di accedere ai loro dati, modificarli, cancellarli, trasferirli o sottoporli altrimenti a un trattamento successivo (o permetterne l’ulteriore trattamento da parte di terzi) li responsabilizzerà e consentirà loro di trarre maggiori benefici dai servizi digitali. Può inoltre promuovere un contesto di mercato più concorrenziale, permettendo ai clienti di cambiare fornitore più facilmente (per esempio nell’ambito dei servizi bancari online o nel caso dei fornitori di energia in un contesto di reti intelligenti). Infine, può altresì contribuire allo sviluppo di servizi supplementari a valore aggiunto da parte di terzi che potrebbero essere in grado di accedere ai dati dei clienti su richiesta e sulla base del consenso dei clienti. In quest’ottica, la portabilità dei dati è pertanto positiva non solo per la protezione dei dati, ma anche per la concorrenza e la tutela dei consumatori110 .
______________
101 Come spiegato a pagina 46 del parere 3/2013 del Gruppo di lavoro sul principio di limitazione delle finalità (citato precedentemente alla nota a piè di pagina 9), nel caso dell’elaborazione di profili e di processi decisionali automatizzati, “per garantire la trasparenza, gli interessati/i consumatori devono poter accedere ai loro 'profili' nonché alla logica sottesa al processo decisionale (algoritmo) che ha portato allo sviluppo del profilo. In altre parole, le organizzazioni devono rendere noti i loro criteri decisionali. Questa è una garanzia fondamentale, che riveste un’importanza ancora maggiore nel mondo dei megadati”. L’eventualità che un’organizzazione offra o meno questa trasparenza è un fattore estremamente importante datenere parimenti in considerazionenel test comparativo.
102 Per le ulteriori possibili garanzie riguardo alle situazioni sempre più comuni in cui i consumatori pagano con i loro dati personali, cfr. la sezione III.3.6, in particolare le pagine 55-57sulle “Alternative ai servizi online 'gratuiti' compatibili con la protezione dei dati” e sulla “Portabilità dei dati, 'Midata' e questioni correlate”.
103 Questo diritto di opposizione non deve essere confuso con il consenso basato sull’articolo 7, lettera a), conformemente al quale il responsabile del trattamento non può trattare i dati prima di ottenere tale consenso. Nell’ambito dell’articolo 7, lettera f), il responsabile del trattamento può trattare i dati, subordinatamente a determinate condizioni e garanzie, purché l’interessato non si sia opposto. In questo senso, il diritto di opposizione può piuttosto essere considerato come una forma specifica di revoca del consenso. Per maggiori particolari, cfr. il parere 15/2011 del Gruppo di lavoro sulla definizione di consenso (citato alla nota a piè di pagina 2).
104 Riguardo all’articolo 13 della direttiva relativa alla vita privata e alle comunicazioni elettroniche, cfr. anche la sezione III.2.4 del parere 3/2013 del Gruppo di lavoro sul principio di limitazione delle finalità (citato precedentemente alla nota a piè di pagina 9).
105 Cfr. la sezione III.2.5 e l’allegato 2 (Megadati e dati aperti) del parere 3/2013 del Gruppo di lavoro sul principio di limitazione delle finalità (citato precedentemente alla nota a piè di pagina 9).
106 Cfr. anche l’articolo 13, paragrafo 3, della direttiva relativa alla vita privata e alle comunicazioni elettroniche, che lascia agli Stati membri la possibilità di scegliere se accettare o rifiutare l’invio di materiale pubblicitario tramite altri mezzi.
107 Per l’applicazione di questa disposizione, cfr. il parere 2/2010 del Gruppo di lavoro sulla pubblicità comportamentale online (WP 171).
108 Cfr. l’allegato II (Megadati e dati aperti) del parere (citato alla precedente nota a piè di pagina 9), pagina 45
109 “Cfr. iniziative quali il progetto 'Midata' del Regno Unito, che si basano sul principio chiave secondo cui i dati devono essere restituiti ai consumatori. 'Midata' è un programma volontario, che nell’arco del tempo dovrebbe aumentare l’accesso dei consumatori ai loro dati personali in un formato portabile ed elettronico. L’idea fondamentale è che anche i consumatori debbano trarre beneficio dai megadati tramite l’accesso alle loro informazioni personali per poter compiere scelte migliori. Cfr. anche le iniziative “Green button”, che permettono ai consumatori di accedere ai loro dati sull’uso dell’energia”. Per maggiori informazioni sulle iniziative intraprese nel Regno Unito e in Francia, cfr. http://www.midatalab.org.uk/ e http://mesinfos.fing.org/.
Fonte: Garante per la Protezione dei dati - GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI - Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679
LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227