Novità: limitazione dei diritti degli interessati.

L’EDPB (European data protection board, in italiano: comitato europeo per la protezione dei dati) ha pubblicato la versione definitiva delle linee guida 10/2020 relative all’articolo 23 del GDPR, il quale prevede che, a certe condizioni possano esserci limitazioni ai diritti degli interessati. Dunque, in alcuni casi, i diritti degli interessati, di cui agli artt. 12-22 GDPR, possono essere sottoposti a limitazioni. Di seguito facciamo un excursus dei punti essenziali delle Linee Guida e delle indicazioni fornite dal Comitato Europeo per la Protezione dei Dati sulla corretta applicazione della norma.

Il quadro normativo di riferimento:

L’EDPB precisa che tutta la normativa della protezione dei dati personali debba essere interpretata alla luce di quanto contenuto nell’art. 52 della Carta dei Diritti Fondamentali dell’Unione Europea, che recita: “Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”. Analizziamo adesso l’art. 23 GDPR: il quale consente al diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento di “limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli 12 a 22 qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali” e sia una misura necessaria e proporzionata in una società democratica per salvaguardare una serie di interessi ritenuti dal legislatore europeo particolarmente rilevanti. Tuttavia, quando il legislatore europeo o nazionale stabilisce delle restrizioni basate sull’articolo 23 del GDPR, esso garantisce, altresì, di soddisfare i requisiti di cui all’articolo 52, paragrafo 1, della Carta e, in particolare, ha l’obbligo di effettuare una valutazione della proporzionalità della misura restrittiva in modo che le restrizioni siano limitate a quanto strettamente necessario. L’elenco contenuto all’art. 23 è da ritenersi del tutto tassativo e non passibile di estensione. Anche in situazioni eccezionali, la protezione dei dati personali non può essere limitata nella sua interezza, dovendo essere sempre rispettati i principi generali del diritto, l’essenza dei diritti e delle libertà fondamentali; la restrizione, inoltre, non deve essere irreversibile. Inoltre, resta fermo il principio di accountability di cui all’art. 5 par. 2 GDPR: ciò significa che il titolare del trattamento risponde del trattamento medesimo e deve essere in grado di dimostrare agli interessati la sua conformità al quadro dell’UE in materia di protezione dei dati, compresi i principi relativi al trattamento dei loro dati.

L’art. 23 e il significato di “limitazioni”:

Come precisato dai Garanti Europei, nelle linee guida il termine “restrizioni” (o limitazioni) viene definito come “qualsiasi limitazione dell’ambito di applicazione degli obblighi e dei diritti previsti dagli articoli da 12 a 22 e 34 GDPR, nonché dalle corrispondenti disposizioni dell’articolo 5 in conformità con l’articolo 23 GDPR”. Gli interessi per i quali il trattamento può essere limitato, sono esplicitamente elencati nell’art. 23. Non solo: i motivi della restrizione devono essere resi chiari e leciti.

Le motivazioni:

L’EDPB analizza, poi, le motivazioni che possono sottostare alla previsione legislativa di una restrizione dei diritti dell’interessato. L’art. 23, individua, infatti, come misure da salvaguardare mediante le restrizioni:

la sicurezza nazionale;
la difesa;
la sicurezza pubblica (inclusa la necessità di tutelare la vita umana a seguito del verificarsi di disastri naturali o causati dall’uomo);
la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica: in questa ipotesi, le informazioni sul trattamento saranno rese nel momento in cui non sussista più la possibilità di compromettere l’indagine in corso. Ciò significa, secondo l’EDPB, “che una specifica informativa sulla protezione dei dati (su misura) dovrebbe essere data all’interessato il più presto possibile, indicando i diversi diritti come l’accesso, la rettifica, ecc.”;
altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale: ad esempio, un’amministrazione fiscale può imporre restrizioni ai diritti di accesso dell’interessato se è in corso sotto un’indagine condotta dalla medesima sul rispetto dei doveri dell’interessato e tale accesso metterebbe a repentaglio l’indagine in corso;
la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari;
le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate: tuttavia, se l’accertamento riguarda comportamenti criminali e fattispecie che costituiscono forme di reato, la base per la restrizione imposta è l’accertamento di reati descritto precedentemente;
una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a), a e) e g);
la tutela dell’interessato o dei diritti e delle libertà altrui: ad esempio, lo svolgimento di un’indagine amministrativa e/o procedimento disciplinare o indagine su accuse di molestie sul posto di lavoro;
l’esecuzione delle azioni civili.

Diritti degli interessati e obblighi del titolare che possono essere limitati:

In relazione ai diritti e agli obblighi che possono essere oggetto di limitazione ai sensi dell’art. 23 GDPR, si precisa che “solo gli articoli da 12 a 22, l’articolo 34 del GDPR e l’articolo 5 nella misura in cui le sue disposizioni corrispondono ai diritti e agli obblighi di cui agli articoli da 12 a 22 possono essere limitati”. Le limitazioni devono essere debitamente giustificate da una situazione eccezionale, “nel rispetto del principio essenziale dei diritti e delle libertà fondamentali in questione” e a seguito del positivo svolgimento di un test di necessità e proporzionalità. “Va notato”, dice a corredo di tale argomento l’EDPB, “che l’articolo 5 del GDPR può essere limitato solo nella misura in cui le sue disposizioni corrispondono ai diritti e agli obblighi previsti dagli articoli da 12 a 22 del GDPR”. Ne consegue che gli ulteriori diritti e obblighi – come il diritto di presentare un reclamo all’Autorità Garante ai sensi dell’art. 77 GDPR – non possono essere limitati.

Il “Necessity and proportionality test”:

Il test di “necessità e proporzionalità” deve essere condotto prima di porre in essere la restrizione. L’obiettivo da salvaguardare, secondo quanto indicato dall’art. 23, fornisce il contesto in base al quale può essere valutata la necessità della misura. È quindi importante individuare l’obiettivo in modo sufficientemente dettagliato, al fine di consentire la valutazione della (rigorosa) necessità della misura.

I requisiti fondamentali delle misure restrittive:

Ogni misura legislativa adottata sulla base dell’art. 23 GDPR che imponga delle restrizioni deve contenere una serie di elementi e rispettare una serie di specifici criteri, enunciati dalle linee guida:

le categorie di dati personali oggetto della restrizione, specie se appartenenti alle categorie di dati c.d. particolari;
lo scopo della restrizione, con l’indicazione anche di quali diritti sono limitati e per quanto tempo;
la descrizione delle misure di salvaguardia a prevenzione dell’abuso o dell’illegittimo accesso o trasferimento: Ciò si riferisce in particolare alle misure organizzative e/o tecniche necessarie per evitare violazioni o trasferimenti illeciti come la conservazione in modo sicuro di documenti fisici;
la specificazione di quale titolare o di quali categorie di titolari siano coinvolti;
il periodo di conservazione: ad esempio, questo potrebbe essere calcolato come la durata dell’operazione di trattamento più il tempo aggiuntivo per potenziali controversie;

I rischi per i diritti e le libertà degli interessati: da un lato, ciò fornisce una panoramica del potenziale impatto delle restrizioni sugli interessati. D’altra parte, fornisce elementi necessari per la conduzione della prova di necessità e proporzionalità delle restrizioni. “A tal riguardo e se del caso”, precisa l’EDPB, “dovrebbe essere presa in considerazione una valutazione d’impatto sulla protezione dei dati (DPIA). Il legislatore dovrebbe valutare i rischi per i diritti e le libertà dell’interessato dal punto di vista degli interessati”. Il diritto dell’interessato di essere informato sulla restrizione, salvo che ciò non comporti un pregiudizio per il raggiungimento delle finalità della restrizione stessa.

Il principio di accountability

L’art. 23 GDPR non fa venir meno i principi generali della normativa privacy europea, ed in particolare il principio dell’accountability del titolare e del responsabile del trattamento. Anzi, alla luce del principio di responsabilizzazione (articolo 5, paragrafo 2, del GDPR), “sebbene non faccia parte dei registri richiesti ai sensi dell’articolo 30 del GDPR, è buona norma”, afferma il Comitato, “che il responsabile del trattamento documenti l’applicazione delle restrizioni su casi concreti tenendo un registro della loro applicazione. Tale registrazione dovrebbe includere i motivi applicabili alle restrizioni, che si applicano tra quelli elencati all’articolo 23, paragrafo 1, del GDPR (laddove la misura legislativa consenta restrizioni per motivi diversi), la sua tempistica e l’esito del test di necessità e proporzionalità. Le registrazioni dovrebbero essere messe a disposizione, su richiesta, dell’autorità di controllo della protezione dei dati”. Nel caso in cui il Titolare abbia nominato il DPO, quest’ultimo dovrebbe essere informato, almeno in generale, senza indebito ritardo dell’avvenuta limitazione dei diritti dell’interessato. Il titolare, conclude l’EDPB, dovrebbe revocare le restrizioni non appena le circostanze che le giustificano non si applicano più e, se gli interessati non sono ancora stati informati delle restrizioni poste nei loro confronti prima del venir meno delle circostanze che le giustificavano, dovrebbero essere rese loro le dovute informazioni “al più tardi al momento della revoca della restrizione”.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.