GDPR e “legittimo interesse”

Io generalmente non perdo troppo tempo a verificare ogni volta tutta la pappardella sulla privacy che ogni sito ci appioppa. (Sì, anche le mie Notiziole hanno una pappardella sulla privacy, purtroppo è obbligatoria. Spero di averla preparata nella maniera meno intrusiva possibile, tanto non prendo nessun dato e i cookie servono solo al lettore se vuole commentare salvandosi i suoi dati). Diciamo che finché non mi vengono chiesti nome e altri dati, amen. So bene che incrociando tante fonti si può sapere troppo di me, ma l’alternativa è smettere direttamente di leggere. Anna invece controlla ogni volta cosa viene chiesto: mi è capitato così di scoprire che ormai la maggior parte dei siti mette come default la non accettazione dei dati… salvo quelli sul legittimo interesse. La cosa mi ha incuriosito, così mi sono messo a cercare qualcosa in più.

Innanzitutto, già la vecchia legge italiana sulla privacy aveva una zona grigia. Se per esempio non avevamo firmato alla banca il consenso al trattamento dei nostri dati per le operazioni di sportello, non potevamo in teoria nemmeno prelevare soldi al bancomat. Dopo un po’ di tentennamenti, si giunse al concetto di “consenso strumentale”. Se stai usando il bancomat per prelevare soldi, si suppone che tu stia dando il consenso per quella singola operazione, visto che altrimenti non potresti avere i soldi. Diciamo che probabilmente in fior di giurisprudenza la cosa sarebbe stata forse impugnabile, ma per una volta il buon senso aveva prevalso.

Stavolta invece la situazione mi pare meno chiara. Come spiegato qui, il GDPR elenca sei casi in cui possono essere trattati i dati personali: richieste contrattuali, obblighi legali, interessi vitali, pubblico interesse, consenso… e legittimo interesse. Le spiegazioni dei vari casi si trovano nei Considerando del regolamento GDPR; quelli che trattano il legittimo interesse sono i Considerando da 47 a 49. Il 49 parla di dati di traffico, il 48 del passaggio tra consociate, il 47 fa tutto un pippone che termina con “Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.” E qui casca l’asino.

Ammetto di non aver seguito tutto l’iter di approvazione del regolamento GDPR, ma mi sa che questa frasetta sia stata infilata come cavallo di Troia. Di per sé, non significa nulla: quel “può” non dà nessun diritto e come spiega il sito itgovernance.eu citato sopra chiunque può fare un DSAR (data subject access request), e ottenere un record completo dei dati trattati e del motivo per cui sono stati raccolti. Peggio ancora: se noi non siamo d’accordo sul fatto che ci sia un legittimo interesse, è il gestore dei dati che deve dimostrare che è così. Certo, ci sono casi citati anche nel Regolamento che non danno dubbi: prevenzione di frodi, network security, verificare possibili azioni criminali o timori per la sicurezza pubblica. Ma non credo proprio che i consensi che ci sono chiesti rientrino in queste casistiche; lo fanno solo per venderti cose, confidando sul fatto che vedere la differenza tra “uso normale” e “legittimo interesse” ci faccia pensare che il secondo sia più o meno obbligatorio.

In definitiva, mi sa che abbia ragione Anna a togliere in modo certosino la spunta a tutti questi “usi legittimi”…

Un pensiero su “GDPR e “legittimo interesse”

  1. nicola

    Secondo me si è sbagliato target. La maggioranza delle persone sa benissimo (o se ne frega altamente) di essere profilata mentre naviga o fa prelievi al bancomat. Quello che non vuole la gente è ricevere mail, sms, telefonate et similia non richiesti. Le persone non vogliono nemmeno che i propri dati siano usati contro se stesse: tipo, prelievi troppo al bancomat, allora non ti do il prestito. Basta limitare l’uso dei dati presi in automatico e mi immagino che la raccolta sarebbe molto meno appetibile. Infatti, se i dati dei prelievi al bancomat fossero veramente usati SOLO per migliore il servizio o evitare le truffe, chi di noi si opporrebbe? Nessuno, immagino.

I commenti sono chiusi.