Ce este interesul legitim în GDPR?

În conformitate cu Articolul 6 din Regulamentul General privind Protecția Datelor (GDPR), “interesul legitim” este stabilit ca fiind unul dintre cele șase temeiuri legale pentru prelucrarea datelor cu caracter personal. Conceptul permite prelucrarea în cazul în care operatorul are un motiv valid, cu condiția îndeplinirii unor condiții specifice. Curtea de Justiție a Uniunii Europene (CJUE) în Cauza C-13/16 a stabilit trei cerințe cumulative:

• Interesul trebuie să fie legitim:
  Interesul operatorului trebuie să fie legal, clar articulat și să nu contravină legii sau ordinii publice. De exemplu, Considerentul 47 al GDPR recunoaște că “prelucrarea datelor cu caracter personal în scopuri de marketing direct poate fi considerată ca fiind efectuată în temeiul unui interes legitim” (GDPR, Considerentul 47).

• Necesitatea prelucrării datelor:
  Prelucrarea trebuie să fie strict necesară pentru interesul legitim declarat; nu ar trebui să existe mijloace alternative mai puțin intruzive pentru drepturile persoanei vizate. Dacă obiectivul poate fi atins fără prelucrarea datelor cu caracter personal, interesul legitim nu poate fi invocat.

• Testul de echilibru:
  Interesul operatorului nu trebuie să prevaleze asupra drepturilor și libertăților fundamentale ale persoanei vizate. Acest test de echilibru necesită o evaluare a:

  • Așteptărilor rezonabile ale persoanei vizate
  • Naturii și impactului prelucrării
  • Garanțiilor adecvate implementate de operator

Mai multe studii subliniază că “testul de echilibru rămâne un exercițiu subiectiv, creând incertitudine pentru operatori” (Voigt & von dem Bussche, 2017, p. 55). În special, marketingul direct este citat în mod expres ca un potențial interes legitim, dar acest lucru nu scutește operatorii de la efectuarea testului de echilibru sau de la asigurarea transparenței față de persoanele vizate.

Cercetările notează în continuare că “interesul legitim este adesea invocat în contexte în care consimțământul ar fi impracticabil, dar operatorii trebuie să își documenteze în mod adecvat evaluarea și să asigure o revizuire continuă” (Kamarinou, Millard & Singh, 2016). Ghidul Grupului de lucru „Articolul 29” (WP29) subliniază faptul că utilizarea interesului legitim nu este o justificare generală și trebuie întotdeauna considerată în cadrul mai larg al responsabilității GDPR (Avizul WP29 06/2014).

În concluzie, interesul legitim în temeiul GDPR oferă o bază flexibilă pentru prelucrarea datelor, dar impune operatorilor să demonstreze necesitatea și proporționalitatea și să respecte drepturile persoanelor vizate prin măsuri solide de echilibru și transparență.