Innovation Law Insights

Data Protection & Cybersecurity  

Linee guida dell'EDPB sul trattamento dei dati personali sulla base del legittimo interesse

Il Comitato europeo per la protezione dei dati (EDPB) ha recentemente pubblicato le Linee guida 1/2024 sul trattamento dei dati personali basato sull'articolo 6, paragrafo 1, lettera f), del GDPR. Le linee guida sono state concepite per aiutare i titolari del trattamento a determinare se possono invocare l'articolo 6, paragrafo 1, lettera f), come base giuridica applicabile, allineandosi al principio di accountability previsto dal GDPR.

Le linee guida sottolineano che la sola individuazione di un interesse legittimo non è sufficiente per invocare l'articolo 6, paragrafo 1, lettera f), del GDPR. I titolari del trattamento devono anche garantire che il trattamento sia strettamente necessario per perseguire tale interesse e che non prevalga sugli interessi o sui diritti e le libertà fondamentali dell'interessato. Le linee guida stabiliscono una procedura di valutazione in tre fasi per determinare se l'articolo 6, paragrafo 1, lettera f), è applicabile, come indicato di seguito.

Fase 1: identificazione di un interesse legittimo

Il primo passo per determinare se l'articolo 6, paragrafo 1, lettera f), possa fungere da base giuridica è identificare se l'interesse del titolare del trattamento o di terzi sia “legittimo”. Si tratta di un aspetto critico perché non tutti gli interessi sono automaticamente qualificabili come legittimi ai sensi dell'articolo 6, paragrafo 1, lettera f). In questo senso anche la Corte di giustizia dell'Unione europea (CGUE) ha sottolineato che i titolari del trattamento devono assicurarsi che i loro interessi siano effettivamente legittimi prima di passare alle fasi successive del processo di valutazione.

Sebbene il GDPR non fornisca un elenco esaustivo di interessi legittimi, sia il GDPR che la CGUE hanno riconosciuto come validi alcuni interessi, come la protezione della proprietà, della salute e della vita dei comproprietari di un edificio, il miglioramento dei prodotti e la valutazione del merito creditizio delle persone. In ogni caso, l'interesse di un titolare può essere considerato legittimo se soddisfa i seguenti criteri cumulativi:

• È legittimo: l'interesse deve essere legittimo e non deve essere in contrasto con la normativa dell'UE o degli Stati membri;
• È articolato in modo chiaro e preciso: l'interesse deve essere chiaramente articolato per garantire un giusto equilibrio con i diritti degli interessati;
• È reale e attuale: l'interesse deve essere presente ed effettivo al momento del trattamento e non speculativo.

Fase 2: valutare la necessità del trattamento

Una volta stabilito un interesse legittimo, il passo successivo consiste nel determinare se il trattamento dei dati personali è necessario per perseguire tale interesse. Nel diritto dell'UE, il concetto di “necessità” ha un significato proprio e deve essere in linea con gli obiettivi della normativa privacy. Ciò comporta un bilanciamento tra la necessità del titolare del trattamento dei dati e i diritti fondamentali degli interessati, tra cui il diritto alla privacy e alla protezione dei dati personali.

Secondo l'EDPB, il test sulla necessità del trattamento deve considerare se l'interesse legittimo possa essere perseguito con mezzi meno invasivi che non incidano sui diritti dell'interessato. Ad esempio, se un titolare del trattamento può raggiungere i suoi obiettivi trattando una quantità minore di dati personali o utilizzando dati non personali, tali alternative devono essere prese in considerazione.

Un elemento cruciale di questa fase è il principio di minimizzazione dei dati di cui all'articolo 5, paragrafo 1, lettera c), del GDPR. Questo principio stabilisce che i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario” per le finalità per cui sono trattati. Il titolare del trattamento deve garantire che i dati personali utilizzati siano essenziali per il perseguimento del legittimo interesse e che non vengano trattati dati eccessivi.

Fase 3: esecuzione del test di bilanciamento

La fase finale è il test di bilanciamento, che richiede ai titolari del trattamento di soppesare il loro legittimo interesse rispetto ai diritti e alle libertà dell'interessato. Questa è spesso la parte più complessa del processo di valutazione. Anche se il titolare del trattamento ha stabilito un interesse legittimo e ha dimostrato che il trattamento è necessario, il trattamento non può essere effettuato se i diritti dell'interessato prevalgono su tale interesse.

In questo esercizio di bilanciamento, l'EDPB raccomanda ai titolari del trattamento di considerare i seguenti fattori:

• gli interessi, i diritti e le libertà fondamentali dell'interessato, che non comprendono solo il diritto alla protezione dei dati e alla privacy, ma anche altri diritti, come la libertà di espressione e l'accesso alle informazioni. I titolati del trattamento devono quindi valutare l'impatto che il loro trattamento avrà anche su questi diritti.
• l'impatto del trattamento sugli interessati, considerando la natura dei dati da trattare, il contesto del trattamento e le eventuali ulteriori conseguenze del trattamento;
• le ragionevoli aspettative degli interessati, in quanto i titolari del trattamento devono considerare se l'interessato possa ragionevolmente aspettarsi che i suoi dati vengano trattati in un determinato modo. Ad esempio, il fatto che determinati dati siano trattati tipicamente in un settore non significa che l'interessato si aspetti ragionevolmente tale trattamento;
• il bilanciamento finale dei diritti e degli interessi contrapposti, compresa la possibilità di adottare ulteriori misure di attenuazione. Infatti, nel caso in cui gli interessi, i diritti e le libertà dell'interessato sembrino prevalere sui legittimi interessi perseguiti, il titolare del trattamento può prendere in considerazione l'introduzione di misure di attenuazione per limitare l'impatto del trattamento sull'interessato. Tuttavia, tali misure si devono considerare in aggiunta al requisito fondamentale della conformità al GDPR.

Conclusione

Le linee guida dell'EDPB forniscono indicazioni per determinare quando un titolare del trattamento può fare affidamento sul legittimo interesse ai sensi dell'articolo 6, paragrafo 1, lettera f), del GDPR. Sebbene il ricorso al legittimo interesse possa offrire una certa flessibilità, esso deve essere attentamente bilanciato con i diritti degli interessati. Tutti i titolari del trattamento dovranno essere in grado di dimostrare che tutte e tre le fasi - identificare un interesse legittimo, garantire la necessità e condurre il test di bilanciamento - sono state effettuate in modo approfondito prima di trattare i dati personali sulla base di un legittimo interesse.

Su un simile argomento può essere d'interesse l'articolo "Il Garante privacy dice no alla profilazione tramite cookie basata sul legittimo interesse".

Autrice: Roxana Smeria

L'EDPB pubblica le linee guida sul rapporto tra il titolare e il responsabile del trattamento

Il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato un parere sugli obblighi dei titolari del trattamento in relazione all'attività di trattamento svolta dai propri responsabili e sub-responsabili.

In particolare, il parere dell'EDPB ha chiarito alcuni aspetti dell'articolo 28 del Regolamento sulla protezione dei dati (“GDPR”), che riguarda il rapporto tra responsabili del trattamento, responsabili del trattamento e sub-responsabili del trattamento e prevede l'obbligo in capo al titolare di individuare e selezionare solo responsabili del trattamento che offrano “garanzie sufficienti”.

Il parere avrà un forte impatto per le aziende che agiscono come titolari del trattamento, poiché l'approccio rigoroso adottato dall'EDPB impone diversi obblighi a questi ultimi, nonché la responsabilità per l'attività dei loro responsabili e sub-responsabili.

Due diligence:

• Il titolare del trattamento deve far in modo di ottenere informazioni esaustive circa l’identità di tutti i responsabili del trattamento, i sub-responsabili del trattamento, ecc.
• L'obbligo di verifica trova applicazione indipendentemente dal grado di rischio per i diritti e le libertà degli interessati. Tuttavia, va tenuto in considerazione l'approccio basato, con la conseguenza che la profondità della verifica varierà al variare del livello di rischio posto dal responsabile, ad esempio considerato il paese in cui è stabilito.
• La verifica si estende anche ai sub-responsabili del trattamento selezionati dal responsabile del trattamento. A questo proposito, l'EDPB ha chiarito che, nonostante la responsabilità di verificare le loro attività, l'obbligo non si estende al dovere di richiedere sistematicamente i contratti in vigore tra il responsabile e i sub responsabili. Tuttavia, è richiesta al titolare una attenta valutazione caso per caso, al fine di individuare potenziali situazioni sospette in cui sia necessario richiedere una copia di tali contratti.
• Il responsabile del trattamento rimane soggetto all’obbligo di verifica anche quando i trasferimenti di dati personali al di fuori del SEE avvengono tra due sub-responsabili del trattamento.

Contratti tra responsabile del trattamento e incaricato del trattamento

L'EDPB si è pronunciato anche sulla validità della clausola in base alla quale, nel caso di trasferimenti internazionali, il responsabile del trattamento è autorizzato a trattare i dati personali al di fuori delle istruzioni del responsabile del trattamento a causa di leggi vincolanti vigenti nel paese di destinazione.

L'EDPB chiarisce che la formulazione “a meno che non sia richiesto dalla legge o da un ordine vincolante di una pubblica autorità” è in linea di principio valida. Tuttavia, occorre distinguere in base al livello di protezione garantito nel paese di destinazione. Se il Paese terzo non fornisce misure sufficienti e potrebbe esserci un accesso abusivo da parte delle autorità, tale clausola potrebbe non essere valida e il titolare del trattamento verrebbe considerato responsabile per il trattamento posto in essere. In questi casi, si raccomanda la formulazione “a meno che non sia richiesto dal diritto dell'Unione o degli Stati membri a cui è soggetto l'incaricato del trattamento”, al fine di circoscrivere l’esenzione alle sole ipotesi in cui la legge del paese di destinazione fornisca garanzie adeguate.

Conclusioni

Nel complesso, l'approccio adottato dall'EDPB è estremamente rigoroso e chiarisce chiaramente che il responsabile del trattamento ha il controllo completo ed è responsabile in ultima istanza di garantire che i dati personali siano trattati in conformità al GDPR lungo l'intera catena di trattamento.

Ciò avrà un impatto significativo sulle aziende che agiscono in qualità di titolari del trattamento, che saranno tenute a mettere in atto una forte due diligence per evitare trattamenti illegittimi potenzialmente in grado di determinare una loro responsabilità.

Il parere è in contrasto con la prassi generale delle grandi aziende tecnologiche che si limitano a fornire un elenco di sub-responsabili che potrebbero essere situati in qualsiasi parte del mondo e sui quali l'azienda che riceve il servizio non ha alcun controllo. Abbiamo implementato soluzioni per i nostri clienti per ridurre il rischio di contestazioni in questi casi, ma devono essere negoziate con la controparte.

Su un argomento simile può essere di interesse l'articolo "L’EDPB pubblica le linee guida sui concetti di titolare e responsabile del trattamento nel GDPR".

Autore: Federico Toscani

 

Intellectual Property

UPC: la Divisione centrale di Milano chiarisce i presupposti per l'intervento dei terzi nei procedimenti cautelari

Il 1 ottobre scorso, la Divisione centrale di Milano ha rigettato la richiesta di una nota casa farmaceutica italiana di intervenire, ai sensi della Rule 313 RoP, in un procedimento cautelare pendente tra una società americana e una società coreana, entrambe produttrici di dispositivi medici.

La società istante, distributrice esclusiva dei prodotti della società coreana in asserita contraffazione, era a sua volta parte resistente in un parallelo procedimento cautelare instaurato dalla medesima ricorrente innanzi alla Divisione locale di Milano.

A fondamento della propria richiesta di intervento, la società italiana aveva addotto che una decisione nel procedimento cautelare pendente tra la società statunitense e quella coreana avrebbe inciso sui suoi rapporti contrattuali con quest'ultima, produttrice dei beni distribuiti in Italia, e su quelli con i suoi clienti.

La Corte ha tuttavia respinto la richiesta, rilevando anzitutto che l'intervento dei terzi nei procedimenti cautelari, in ragione della sommarietà e celerità di questi ultimi, può essere consentito solo in casi eccezionali, dovendosi invece evitare iniziative che possano rallentarne il corso.

Ciò premesso, i Giudici hanno in termini più generali evidenziato che, ai sensi della Rule 313 RoP, l'intervento dei terzi in un procedimento, sia esso cautelare o di merito, è di regola concesso a coloro che vantino un interesse giuridico – e non meramente fattuale – nella vertenza. A tal fine, secondo la Corte, il terzo deve dimostrare di essere titolare di una situazione giuridica connessa o dipendente da quella controversa, e che tale correlazione possa comportare una lesione totale o parziale dei propri diritti nel caso in cui la parte in supporto della quale interviene risulti soccombente.

Nel caso di specie, la Corte ha ritenuto che la richiesta di intervento fosse finalizzata esclusivamente a supportare le tesi di una parte, e che l'interesse dell'istante avrebbe potuto trovare tutela nel procedimento parallelo senza che fosse necessario un suo intervento nel procedimento davanti alla Divisione centrale. Sulla scorta di tali ragioni, la Corte ha dunque rigettato la richiesta.

Sul medesimo tema, ad un solo giorno di distanza dalla pronuncia resa dalla Divisione centrale di Miano, si è espressa peraltro anche la Divisione locale di Monaco. In tale occasione, la Corte ha chiarito che per interesse giuridico ai sensi dell'articolo 313 RoP si deve intendere quell'interesse diretto e attuale ("direct and present") all’emissione della decisione richiesta dalla parte che l'interveniente intende sostenere, e non solo un interesse indiretto all'esito della causa, dettato da analogie tra la sua posizione e quella di una delle parti.

Sempre in tema di UPC può essere interessante l’articolo: “Applicabilità dell’UPCA alle azioni nazionali di contraffazione: una prima decisione dalla Germania”.

Autori: Massimiliano Tiberio, Camila Francesca Crisci

 

Technology Media and Telecommunication

Adozione del nuovo programma di lavoro della Commissione europea nell'ambito del Meccanismo Connecting Europe

Il 9 ottobre scorso la Commissione europea ha adottato il secondo programma di lavoro per la parte digitale del Meccanismo per collegare l'Europa Digitale (Connecting Europe Facility – CEF Digital – "CEF") – istituito con il Regolamento (UE) 2021/1153 – che definisce la portata e gli obiettivi delle azioni finanziate dall'UE per migliorare e sviluppare le infrastrutture di connettività digitale europee.

Il CEF ha l'obiettivo di contribuire allo sviluppo di progetti di connettività e alla realizzazione di infrastrutture ad alte prestazioni, come le reti Gigabit e 5G, in tutta l'UE promuovendo investimenti pubblici e privati.

In linea con gli obiettivi di connettività previsti nell'ambito del Decennio Digitale dell'UE, le principali azioni previste dal Meccanismo includono le seguenti:

• lo sviluppo di reti di comunicazioni elettroniche ad alta capacità, comprese reti 5G;
• la garanzia di una copertura ininterrotta con sistemi 5G delle maggiori linee di trasporto, incluse le reti di trasporto europee;
• lo sviluppo di nuove reti dorsali (backbone) e il miglioramento di quelle esistenti, incluse le reti di cavi sottomarini, all'interno degli Stati Membri dell'Unione e tra di essi e tra gli Stati Membri e Paesi terzi;
• l'implementazione e il supporto di infrastrutture di connettività digitale collegate a progetti transfrontalieri nei settori dei trasporti e dell'energia.

Il primo programma di lavoro del CEF è stato adottato a fine 2021, con un particolare focus sull'inclusione digitale.

Il nuovo programma di lavoro sosterrà in particolare le seguenti azioni:

• la diffusione delle infrastrutture 5G e Gigabit in tutta l'Europa, tramite il cofinanziamento di progetti che promuovono lo sviluppo delle reti ad alta capacità e l'integrazione delle capacità di edge cloud e computing in applicazioni settoriali verticali, come la sanità, la produzione, i trasporti e la logistica;
• la diffusione e il significativo potenziamento delle reti dorsali (backbone), compresi i cavi sottomarini;
• la diffusione di piattaforme digitali per le infrastrutture dei trasporti e dell'energia che si baseranno e si integreranno con le infrastrutture europee esistenti di dati, cloud ed edge computing e connettività.

Il secondo programma di lavoro del CEF per il digitale contribuirà inoltre a stimolare la competitività dell'ecosistema digitale europeo, con l'obiettivo di affrontare le sfide geopolitiche e geoeconomiche individuate dalla Commissione nel Libro Bianco "Come far fronte alle esigenze dell'Europa in materia di infrastrutture digitali?".

Su un simile argomento può essere interessante l’articolo “La Commissione presenta nuove iniziative per le infrastrutture digitali”.

Autori: Massimo D’Andrea, Matilde Losa

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Noemi Canova, Gabriele Cattaneo, Noemi Canova, Gabriele Cattaneo, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Nadia Feola, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Marianna Riedo, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.