Con il GDPR, che cosa si intende per legittimo interesse del titolare?
I legittimi interessi del titolare del trattamento possono rendere lecito il trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato. I “considerando” del Regolamento esplicitano alcuni casi: ad esempio, quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, come quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento.
L’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine.
Gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento, qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali.
Altro esempio di legittimo interesse del titolare è il trattamento di dati personali strettamente necessari a fini di prevenzione delle frodi. Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.
Costituisce legittimo interesse tra i titolari del trattamento facenti parte di un gruppo imprenditoriale o di enti collegati a un organismo centrale la trasmissione di dati personali a fini amministrativi interni, compreso il trattamento di dati personali dei clienti o dei dipendenti.
Costituisce legittimo interesse trattare dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell’informazione, e cioè la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comunicazione elettronica e fornitori di tecnologie e servizi di sicurezza. Sono comprese le misure per impedire l’accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da "blocco di servizio" e ai danni ai sistemi informatici e di comunicazione elettronica.
