Mai sentito parlare di “LIA”? Potrebbe essere un documento importante per non rischiare sanzioni.

Legitimate Interest Assessment.

Sono le tre parole che danno significato all’acronimo. Letteralmente, in italiano: “analisi del legittimo interesse”.

Vediamo, innanzitutto, cos’è il “legittimo interesse”.

Si tratta di una delle basi giuridiche che rendono lecito un trattamento di dati personali. Tra le basi giuridiche più ricorrenti troviamo: il consenso esplicito; una legge o norma; l’esecuzione di un contratto e, appunto, il legittimo interesse. Approfondimenti sul sito del Garante per la protezione dei dati personali.

Il legittimo interesse non è utilizzabile per alcune finalità, per citarne alcune, la comunicazione a scopo di marketing diretto; la comunicazione a terzi a scopo promozionale; l’invio di referti medici via mail; la diffusione di dati e la profilazione.

Se viene installato un sistema di videosorveglianza per la tutela del patrimonio e la sicurezza personale, sicuramente, il legittimo interesse costituirà la corretta base giuridica; come pure, il trattamento di dati, finalizzato alla contabilità e all’amministrazione, nell’ambito di una rete di imprese collegate, piuttosto che il trattamento di dati di persone coinvolte nell’attività di un ente no profit o il trattamento di dati finalizzato ad una difesa in sede di giudizio.

Sono trattamenti che devono essere limitati alle finalità lecite e per il tempo strettamente necessario, rispettando il principio della trasparenza (informativa) nella maggior parte dei casi. Ovviamente, non si potrà applicare il principio della trasparenza nel caso di investigazioni private.

Veniamo al documento “Lia”.

Dovrà essere redatto, seguendo alcuni steps essenziali:

1. Valutazione base giuridica: si deve stabilire la base giuridica di quel trattamento.
2. Qualificazione dell’interesse come «legittimo»: alcune finalità non legittimano l’interesse. Ad esempio, il controllo a distanza di un dipendente non è legittimo.
3. Determinazione necessità trattamento: rispetto del principio di minimizzazione del trattamento. Si attua solo se è indispensabile.
4. Determinare se prevale l’interesse del titolare del trattamento: prevale, ad esempio, se devo tutelare la sicurezza del mio patrimonio nel caso in cui affidi la gestione della una cassa di un locale pubblico ad un collaboratore autorizzato o se devo effettuare un rintraccio di un debitore insolvente.
5. Bilanciamento interessi e salvaguardie: determinato il punto precedente, valuto se il soggetto deve godere di un interesse superiore oppure no e quali misure posso attuare per tutelare al massimo i suoi dati.
6. Dimostrazione conformità e trasparenza: descrivo processi e misure attuate, come, ad esempio, il corretto posizionamento della telecamera, del cartello di avviso, dell’informativa completa e dell’autorizzazione ottenuta dall’Ispettorato del lavoro.
7. Descrizione fase successiva a eventuale opposizione dell’interessato: descrivo quali procedure vanno attuate nel momento in cui il soggetto dovesse affermare di non trattare i suoi dati per tale finalità. Lo può fare? Se sì, quali passi vanno compiuti.

Ricordiamo che, spesso, questi trattamenti richiedono anche la DPIA (data protection impact assessment), chiamata semplicemente, “valutazione di impatto privacy”. Approfondiremo l’argomento nei prossimi articoli.

 

Contattaci, cliccando qui, per approfondire l’argomento o per implementare il documento LIA nella tua documentazione del GDPR.