Le normative vigenti (linee guida European Data Protection Board - EDPB) impongono nuovi controlli ai Titolari del trattamento che rientrano in quest'obbligo (trattamenti basati sul legittimo interesse): il mancato rispetto delle nuove prescrizioni comporta il pagamento di una sanzione economica significativa, laddove oggetto di controllo.
A seguire i dati che originano la necessità di questi obblighi nonché la spiegazione delle sanzioni e dei rischi.

BACKGROUND NORMATIVO SINTETICO.

A far data dal 25 maggio 2018 (applicazione piena del Reg. UE 2016/679 – GDPR) e, più recentemente, dalle Linee Guida 01/2024 dell’EDPB sul legittimo interesse (par. 25 e ss.), il Titolare del trattamento è obbligato a dimostrare e documentare che i trattamenti dati basati sul legittimo interesse, siano:

• legittimi (perseguimento di un interesse giuridicamente tutelato);
• prevalenti rispetto ai diritti e alle libertà fondamentali degli interessati;
• necessari e proporzionati rispetto alle finalità perseguite;
• attuali e non ipotetici.

Dall’art. 6, par. 1, lett. f) GDPR e dal Considerando 47, letti alla luce del principio di responsabilizzazione (art. 5, par. 2, GDPR) e delle Linee guida 1/2024 dell’European Data Protection Board (EDPB) sull’art. 6, par. 1, lett. f), discende per il Titolare l’esigenza di documentare il bilanciamento degli interessi in modo tracciabile, anche mediante una LIA (Legitimate Interest Assessment).
È inoltre richiamata dall’Autorità Garante per la protezione dei dati personali nelle FAQ ufficiali e nel Provvedimento n. 181 del 15 ottobre 2020, relativo al trattamento di dati personali per finalità di marketing e profilazione, nonché correlata al Provvedimento generale in materia di videosorveglianza dell’8 aprile 2010 e in ulteriori documenti di indirizzo, che richiedono al Titolare di documentare il bilanciamento degli interessi quando invoca l’art. 6, par. 1, lett. f) GDPR, anche mediante un atto interno (LIA o documento equivalente).
La LIA deve essere redatta PRIMA dell’avvio del trattamento e mantenuta aggiornata con cadenza almeno annuale o ad ogni variazione significativa.

SANZIONI POTENZIALI.
La mancata redazione della LIA quando il legittimo interesse è base giuridica determina trattamento illecito ai sensi degli artt. 5, par. 1, lett. a), e 6 GDPR: i dati trattati in assenza di una valida base giuridica espongono il Titolare al trattamento a potenziali sanzioni e non sono leciti e il loro eventuale utilizzo in un procedimento giudiziario resta soggetto alle regole processuali in materia di prove illegittimamente acquisite. Le principali conseguenze potenziali sono:

• Sanzioni amministrative pecuniarie fino a 20 milioni di euro o, laddove superiore, fino al 4% del fatturato annuo mondiale per trattamento illecito privo di base giuridica valida (art. 83, par. 5, GDPR);
• Potenziali sanzioni di natura penale (“Trattamento illecito dei dati”, art. 167 D.Lgs. 196/2003), con possibile applicazione al legale rappresentante della pena da sei a diciotto mesi di reclusione;
• Ordine di limitare o vietare il trattamento (art. 58, par. 2, lett. f), GDPR) e di rettificare o cancellare i dati personali, o di limitare il trattamento (art. 58, par. 2, lett. g), GDPR);
• Obbligo di risarcimento danni materiali e immateriali (art. 82 GDPR);
• Potenziale inutilizzabilità dei dati in sede penale, nei casi in cui la prova sia stata acquisita in violazione di divieti stabiliti dalla legge, l’art. 191 c.p.p;
• Potenziale inutilizzabilità dei dati in sede civile poiché l’utilizzabilità di documenti o dati acquisiti in violazione della normativa privacy è rimessa alla valutazione del giudice ai sensi dell’art. 116 c.p.c., che opera un bilanciamento tra diritto alla prova e tutela dei dati personali, tenendo conto dell’interesse concreto alla difesa.

"La LIA non è un adempimento burocratico:
è lo strumento che trasforma il legittimo interesse in una base giuridica solida,
riducendo i rischi di sanzione in capo al Titolare del trattamento
e permettendo l’esercizio alla difesa in sede giudiziaria."

ESEMPI DI TRATTAMENTI CHE RICHIEDONO LIA
(Linee Guida EDPB 01/2024, par. 25 e ss.)
Le Linee Guida 01/2024 individuano espressamente come trattamenti tipicamente basati su legittimo interesse (e pertanto obbligatoriamente soggetti a LIA) i seguenti:

• Videosorveglianza, mediamente - ma non solo - per finalità di sicurezza aziendale (es. monitoraggio aree operative, magazzini, pontili, unità navali);
• Geolocalizzazione o georeferenziazione di persone attraverso mezzi o dispositivi.
• Conservazione dei metadati delle comunicazioni di posta elettronica (es. header quali mittente, destinatario, data/ora, oggetto, log di invio/ricezione), come previsto dal Documento di indirizzo del Garante Privacy del 6 giugno 2024, n. 364.
• Registrazione e conservazione dei file di log degli amministratori di sistema (accessi privilegiati a server mail, file server, backup, sistemi di gestione flotte);
• Monitoraggio dell’uso degli strumenti informatici aziendali (es. log di navigazione internet, accesso a caselle email, utilizzo di software gestionali);
• Trattamento di dati per prevenzione frodi interne (es. analisi anomalie nei log di accesso ai sistemi HR o contabili);
• Marketing diretto non basato su consenso (es. invio comunicazioni commerciali a contatti acquisiti, es. in fiere o da elenchi pubblici);
• Trasmissione dati a terzi per finalità di sicurezza (es. condivisione log con autorità).

ATTIVITÀ PRELIMINARI ALL’IMPLEMENTAZIONE DELLA LIA.

• Acquisizione e verifica evidenze documentali pertinenti.
• Conferma esigenza LIA o conferma non obbligatorietà della stessa.
• Redazione LIA.
  • Interviste mirate agli incaricati (p.e. responsabile sistema IT, referenti sicurezza, incaricati e Responsabili del trattamento).
  • Analisi dei flussi di dati e dei tempi di conservazione.
  • Valutazione di attualità del trattamento, necessità e proporzionalità con successivo test di bilanciamento in 3 fasi (finalità, necessità, bilanciamento).
• Consegna della LIA con responso motivato circa la liceità del trattamento.

.

• Acquisizione e verifica evidenze documentali pertinenti. 
• Conferma esigenza LIA o conferma non obbligatorietà della stessa.
• Redazione LIA.
  • Interviste mirate agli incaricati (p.e. responsabile sistema IT, referenti sicurezza, incaricati e Responsabili del trattamento). 
  • Analisi dei flussi di dati e dei tempi di conservazione.
  • Valutazione di attualità del trattamento, necessità e proporzionalità con successivo test di bilanciamento in 3 fasi (finalità, necessità, bilanciamento).
• Consegna della LIA con responso motivato circa la liceità del trattamento.