Come bilanciare il legittimo interesse delle Aziende e i limiti imposti dal GDPR alla profilazione degli utenti?
La profilazione come strumento essenziale per le aziende…
L’avvento della tecnologia digitale ha aperto nuove opportunità per le aziende di tutto il mondo, consentendo loro di raccogliere e analizzare una vasta quantità di dati sugli utenti. Questo ha alimentato la pratica della profilazione degli utenti, un processo attraverso il quale le aziende cercano di comprendere meglio le preferenze, i comportamenti e le esigenze dei propri clienti. Tuttavia, la profilazione e il tracciamento online (e non solo) sono sempre più invasivi e questo ha portato il legislatore europeo a emanare più regolamenti sul tema. GDPR, Digital Service Act, Digital markets Act… tutti i regolamenti europei più recenti regolano la profilazione degli utenti (il trattamento dei dati in generale) e impongono alle aziende un principio fondamentale: la trasparenza.
Che si parli di GDPR o Digital Service Act, tutte le aziende che gestiscono piattaforme online e app hanno l’obbligo di rendere disponibili privacy policy e cookie policy. Policy nelle quali le aziende devono dettagliare, con chiarezza, semplicità e nella massima trasparenza, tutti i dettagli relativi al trattamento dei dati. Il GDPR pone il consenso dell’utente come base giuridica al trattamento dei dati personali, anche e soprattutto quando ha finalità di profilazione. Ma il consenso non è l’unica base giuridica che può legittimare un trattamento dati.
Per saperne di più > Cookie: il legittimo interesse non basta, serve l’esplicito consenso dell’utente
Il legittimo interesse delle aziende
Per le aziende la profilazione degli utenti è fondamentale per migliorare l’esperienza del cliente e offrire prodotti o servizi più pertinenti. Attraverso l’analisi dei dati, possono personalizzare le offerte, fornire annunci mirati e ottimizzare le strategie di marketing. Questo può aumentare l’efficienza operativa delle aziende e migliorare la loro redditività. Insomma la profilazione è proprio un (legittimo) interesse delle aziende.
L’art 6 del GDPR entra a gamba tesa in questo quadro:
«Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore».
A prima lettura sembra quindi che il legittimo interesse sia base giuridica che legittima un trattamento dei dati a fini di profilazione. Purché, ovviamente, il trattamento dei dati rispetti i diritti degli interessati e porti a pubblicità trasparente, veritiera e non manipolativa.
I presupposti per il legittimo interesse
Intanto, il legittimo interesse è “l’ultima spiaggia”, ovvero l’extrema ratio al quale il titolare del trattamento può appellarsi per legittimare il trattamento. In teoria, il titolare del trattamento dovrebbe ricorrere al legittimo interesse solo nel caso in cui non sia individuabile un’altra base legale che renda lecito il trattamento.
Il gruppo WP29 ha affrontato il tema, sconsigliando il ricorso al legittimo interesse soprattutto nei casi in cui il trattamento risulti poco chiaro, abbia grande impatto sui diritti dell’interessato o rischi di influenzarne le decisioni. Poco dopo anche l’EDPB ha ribadito che il consenso sia la base giuridica più idonea a legittimare la pubblicità personalizzata, soprattutto se comportamentale.
Ecco quindi che, in realtà, i margini per avvalersi del legittimo interesse si fanno assai ridotti. A causa del principio di accountability, deve essere il titolare del trattamento a dimostrare che un trattamento sia legittimato dal legittimo interesse, sia necessario e prevalente sull’interesse dell’utente. La grande difficoltà è proprio qui: bilanciare il legittimo interesse con i diritti e l’interesse dell’interessato.
Per approfondire > Legittimo interesse nel GDPR: cosa è e quando è valida base giuridica?
L’equilibrio necessario
Ecco quindi che diviene necessario trovare il sistema di riequilibrare gli interessi in campo. Le aziende possono optare per adottare maggiori misure di sicurezza per l’interessato ma anche e soprattutto consentire all’utente una certa capacità di scelta, di modo da bilanciare l’assenza dell’esplicito consenso. Informazione e trasparenza sono quindi i punti di partenza, ma non sufficienti. Il titolare del trattamento può procedere a tale bilanciamento anche:
- potenziando il diritto di scelta dell’interessato. Basta consentire, ad esempio, all’utente di stabilire se ricevere pubblicità personalizzata o generalista;
- rafforzando il diritto di oppozione da parte dell’interessato, renendolo concreto e semplificandolo (mettendo a disposizione dell’interessato un pannello di controllo di gestione delle scelte, ricordando a cadenza regolare le autorizzazioni concesse e dando la possibilità di modificarle ecc…).
E si, il fatto è chiaro: il legittimo interesse è praticabile come base giuridica al trattamento, ma molto difficile da percorrere.