Approfondimento GDPR: cosa conta come "interesse legittimo?"

Pubblicato: 2018-03-01
Approfondimento GDPR: cosa conta come "interesse legittimo?"

Sai cosa si dice: se dai loro un dito, ti prenderanno la mano.

Dai loro un'eccezione di interesse legittimo e invieranno un'e-mail a freddo a tutto LinkedIn.

Il GDPR ha sei motivi legittimi per il trattamento dei dati personali, come indicato nell'articolo 6. E gli interessi legittimi sono ben configurati per essere i più utilizzati in modo improprio. Ogni marketer che vuole evitare di ottenere il consenso al trattamento dei dati, cercherà di utilizzare l'interesse legittimo come mezzo per richiederlo.

Ma stai attento... molto attento. L'interesse legittimo è una disposizione più rigorosa di quanto sembri.

Parliamo quindi di dove può essere applicato e di come possiamo comprenderne meglio le intenzioni.

Sei motivi legittimi per il trattamento dei dati personali

Devi disporre di una base legale valida per poter trattare i dati personali e ce ne sono sei che ora sono considerati leciti.

Nessuna singola base è "migliore" o più importante delle altre. E quale base è più appropriato utilizzare dipenderà dal tuo scopo e dal rapporto con l'individuo.

Una cosa da notare: devi determinare la tua base legale prima di iniziare l'elaborazione. Dovresti averlo documentato e disponibile in caso di un potenziale audit. I funzionari non guarderanno di buon occhio a nessun cambio dell'ultimo minuto.

La tua informativa sulla privacy dovrebbe includere anche la tua base legale per il trattamento e le tue finalità per il trattamento. Se le tue finalità cambiano, potresti essere in grado di continuare l'elaborazione sulla base legale originale, supponendo che la tua nuova finalità sia compatibile con la tua base iniziale (questo presuppone che la tua base legale non fosse il consenso). In ogni caso: assicurati di aggiornare la tua politica sulla privacy.

Per motivi di semplicità, questo articolo non si addentrerà in dati speciali, come passaporti, dati biometrici ecc.

Manterremo le cose pertinenti ai professionisti del marketing: analisi, generazione di lead, e-mail e test a/b.

Ecco cosa puoi usare come base legale:

  1. Consenso
  2. Contrarre
  3. Obbligazione legale
  4. Interessi vitali
  5. Compito di interesse pubblico
  6. Interessi legittimi

Riepilogo in 10 secondi:

1. Devi ottenere il consenso (quella casella di controllo sui tuoi moduli),
2. Devi avere un contratto con l'individuo o la società (in cui entrambi hai concordato che i dati personali devono essere elaborati).
3-5. Li lasceremo per un'altra volta, poiché non sono pensati per i professionisti del marketing.
6. Interesse legittimo. Sembra il più facile vero? Assicurati solo di avere una buona ragione "legittima" per elaborare i dati personali e farla finita. Ciao ciao consenso?

Interesse legittimo: che cos'è?

Gli interessi legittimi sono la base legale più flessibile per l'elaborazione, ma non si può presumere che sarà sempre la più appropriata.

È probabile che sia più appropriato utilizzare i dati delle persone nei modi che ragionevolmente si aspetterebbero e che hanno un impatto minimo sulla privacy. O laddove esiste una giustificazione convincente per il trattamento. Questo è ciò che dice il considerando 47 del GDPR sull'interesse legittimo.

Gli interessi legittimi di un titolare del trattamento, compresi quelli di un titolare del trattamento al quale i dati personali possono essere comunicati, o di terzi, possono costituire una base giuridica per il trattamento, a condizione che gli interessi o i diritti e le libertà fondamentali dell'interessato siano non prevalente, tenuto conto delle ragionevoli aspettative degli interessati in relazione al loro rapporto con il titolare del trattamento. Tale interesse legittimo potrebbe sussistere, ad esempio, quando esiste una relazione pertinente e appropriata tra l'interessato e il responsabile del trattamento in situazioni come quelle in cui l'interessato è un cliente o al servizio del responsabile del trattamento. In ogni caso, l'esistenza di un interesse legittimo richiede un'attenta valutazione, compresa la possibilità che un interessato possa ragionevolmente aspettarsi, al momento e nel contesto della raccolta dei dati personali, che possa aver luogo un trattamento a tale scopo. Gli interessi e i diritti fondamentali dell'interessato potrebbero, in particolare, prevalere sull'interesse del titolare del trattamento dei dati qualora i dati personali siano trattati in circostanze in cui gli interessati non si aspettano ragionevolmente un ulteriore trattamento. Dato che spetta al legislatore prevedere per legge la base giuridica per il trattamento dei dati personali da parte delle autorità pubbliche, tale base giuridica non dovrebbe applicarsi al trattamento da parte delle autorità pubbliche nell'esercizio dei loro compiti. Costituisce legittimo interesse del titolare del trattamento interessato anche il trattamento dei dati personali strettamente necessario ai fini della prevenzione delle frodi. Il trattamento dei dati personali per finalità di marketing diretto può considerarsi effettuato per un legittimo interesse.

Se scegli di fare affidamento su interessi legittimi, ti stai assumendo la responsabilità aggiuntiva di considerare e proteggere i diritti e gli interessi delle persone .

Quindi, se hai un sistema in cui sei davvero sicuro di aver garantito la privacy degli utenti, questo è un forte indicatore che puoi utilizzare l'interesse legittimo.

Ci sono tre elementi alla base degli interessi legittimi. Aiuta a pensare a questo come a un test in tre parti. Devi:

  1. identificare un interesse legittimo;
  2. dimostrare che il trattamento è necessario per realizzarlo; e
  3. bilanciarlo con gli interessi, i diritti e le libertà dell'individuo.

Gli interessi legittimi possono essere i tuoi interessi o gli interessi di terzi. Possono includere interessi commerciali, interessi individuali o vantaggi sociali più ampi.

Anche il trattamento deve essere necessario. Se puoi ragionevolmente ottenere lo stesso risultato in un altro modo meno invadente, gli interessi legittimi non si applicano più,

Inoltre, è necessario seguire i seguenti passaggi utilizzando l'interesse legittimo:

  • Devi bilanciare i tuoi interessi con quelli dell'individuo. Se non si aspettano ragionevolmente il trattamento, o se ciò causa un danno ingiustificato, è probabile che i loro interessi prevalgano sui tuoi interessi legittimi.
  • Conserva un registro della tua valutazione dei legittimi interessi (LIA) per aiutarti a dimostrare la conformità, se necessario.
  • È necessario includere i dettagli dei propri interessi legittimi nell'informativa sulla privacy.

Elenco di controllo dell'autorità per la privacy dell'ICO (Regno Unito) per interesse legittimo

Il sito web dell'ICO (Information Commissioner's Office) ha una lista di controllo pensata per aiutarti a determinare se il trattamento dei tuoi dati è giustificato da interessi legittimi.

Se stai cercando di giocare sul sicuro, assicurati di poter confermare quanto segue:

  • Abbiamo verificato che gli interessi legittimi siano la base più appropriata.
  • Comprendiamo la nostra responsabilità nel proteggere gli interessi dell'individuo.
  • Abbiamo condotto una valutazione degli interessi legittimi (LIA) e ne abbiamo tenuto un registro, per assicurarci di poter giustificare la nostra decisione.
  • Abbiamo identificato gli interessi legittimi rilevanti.
  • Abbiamo verificato che la lavorazione è necessaria e non esiste un modo meno invadente per ottenere lo stesso risultato.
  • Abbiamo fatto un test di equilibrio e siamo fiduciosi che gli interessi dell'individuo non prevalgano su quegli interessi legittimi.
  • Utilizziamo i dati delle persone solo nei modi che ragionevolmente si aspetterebbero, a meno che non abbiamo un'ottima ragione.
  • Non utilizziamo i dati delle persone in modi che riterrebbero invadenti o che potrebbero causare loro danni, a meno che non abbiamo un'ottima ragione.
  • Se elaboriamo i dati dei bambini, prestiamo particolare attenzione per assicurarci di proteggere i loro interessi.
  • Abbiamo preso in considerazione misure di salvaguardia per ridurre l'impatto ove possibile.
  • Abbiamo considerato se possiamo offrire un opt-out.
  • Se la nostra LIA identifica un impatto significativo sulla privacy, abbiamo considerato se è necessario condurre anche una DPIA.
  • Manteniamo la nostra LIA sotto controllo e la ripetiamo se le circostanze cambiano.
  • Includiamo informazioni sui nostri interessi legittimi nella nostra informativa sulla privacy.

Utilizzo del legittimo interesse per i test A/B

Andando avanti, il GDPR e la Direttiva ePrivacy saranno i due capisaldi legali per i marketer digitali.

E come sottolinea: indirizzi IP, cookie: queste cose sono ora considerate "dati personali".

Quindi interessi legittimi a parte: molto probabilmente avrai bisogno del consenso per i cookie e altri identificatori con i tuoi attuali strumenti di test A/B.

Ecco perché:

È piuttosto difficile avere un argomento per un interesse legittimo e equilibrato se stai utilizzando software di terze parti per arricchire i tuoi segmenti o memorizzare ogni mossa dei visitatori del tuo sito web. Questo tipo di archiviazione è una pratica comune con strumenti come Heap o qualsiasi programma simile dotato di capacità di analisi post-segmentazione o predittiva.

Con molte delle principali soluzioni di test A/B, memorizzi molti dati su un utente. E usi quei dati, in seguito, come vuoi, senza informare l'utente di quel processo.

Guardando indietro alla lista di controllo...

Gli utenti che accedono al tuo sito web "si aspettano ragionevolmente" che utilizzeresti i loro dati per prevedere i loro modelli di acquisto?

Il tuo "legittimo bisogno" è di archiviare un eccesso dei loro dati, sicuro di ignorare le obiezioni che potrebbero avere al tuo utilizzo?

È probabile che questo tipo di raccolta di dati richieda un consenso specifico. Ciò significa che non dovresti caricare cookie o esperimenti senza uno specifico consenso.

Test A/B, meno archiviazione dei dati personali

Dall'approvazione del GDPR, abbiamo riprogettato Convert Experiences. E stiamo continuando a lavorarci, quindi siamo pronti al 100% prima del 25 maggio 2018.

Ciò significa che quando utilizzi Converti nelle impostazioni predefinite, rispetterà il GDPR senza che sia necessario il consenso (consulta la nostra tabella di marcia qui).

Non vengono memorizzati ID cookie, identificatori univoci e IP. Davvero tutto è ridotto, per quanto possibile, in modo che nessun dato personale venga archiviato o utilizzato.

Ciò significa che non è necessario alcun consenso.

Ciò che potrebbe essere necessario è informare i visitatori del sito web sul modo in cui gestisci i test A/B.

Forse, per essere più sicuri, gli utenti dovrebbero includere un interesse legittimo nelle loro politiche sulla privacy, per segnalare che quel cookie inserito per il software di test A/B non memorizza dati personali. E per menzionare l'interesse strategico per te, come azienda, è necessario inserire questo cookie analitico, per migliorare le prestazioni della tua attività.

Riassumendo:

Il consenso e l'interesse legittimo sono molto probabilmente le basi legittime più utilizzate per i marketer digitali.

Senza dubbio, il consenso è il modo più sicuro per evitare qualsiasi azione legale contro la tua azienda.

Il legittimo interesse dovrebbe essere utilizzato solo nel raro caso in cui ti trovi con le spalle al muro e dove sei sicuro che non ci siano, o siano pochissimi, dati personali archiviati ed elaborati.

Assicurati che sia chiaro al 100% il motivo per cui ritieni che l'interesse legittimo sia praticabile e archivialo in caso di verifica.

Perché è complicato, ma non è scienza missilistica. Se suona subdolo, chiedi il consenso. Se si tratta di un'elaborazione davvero innocua, argomenta con forza per un impatto minimo sui tuoi clienti e visitatori del sito web.

E ricorda: il GDPR è a pochi mesi di distanza. Tieniti informato, parla con i tuoi fornitori e preparati per un panorama di elaborazione dei dati più trasparente.