GDPR, limitazione diritti degli interessati: ecco le linee guida EDPB - Cyber Security 360

Le regole

GDPR, limitazione diritti degli interessati: ecco le linee guida EDPB

L’EDPB ha pubblicato la versione definitiva delle linee guida 10/2020 relative all’articolo 23 del GDPR, il quale prevede che a certe condizioni possano esserci limitazioni ai diritti degli interessati: vediamo quali sono i casi di applicazione

25 Ott 2021
C
Marina Rita Carbone

Consulente privacy

In alcuni casi, i diritti degli interessati possono essere sottoposti a limitazioni. Per capire quando e in che modo, l’EDPB ha pubblicato la versione finale delle Linee Guida 10/2020 sull’art. 23 GDPR che appunto prevede, a determinate condizioni, la limitazione di alcuni dei diritti dell’interessato previsti agli artt. 12-22. Di seguito, una breve disamina dei punti essenziali delle Linee Guida e delle indicazioni fornite dal Comitato Europeo per la Protezione dei Dati sulla corretta applicazione della norma.

Il quadro normativo di riferimento

In apertura, l’EDPB precisa che l’intera normativa della protezione dei dati personali debba essere interpretata alla luce di quanto contenuto nell’art. 52 della Carta dei Diritti Fondamentali dell’Unione Europea, che recita: “Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

L’EDPB passa, poi, all’analisi del contenuto dell’art. 23 GDPR, che consente al diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento di “limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli 12 a 22 qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali” e sia una misura necessaria e proporzionata in una società democratica per salvaguardare una serie di interessi ritenuti dal legislatore europeo particolarmente rilevanti. Tuttavia, quando il legislatore europeo o nazionale stabilisce delle restrizioni basate sull’articolo 23 del GDPR, esso garantisce, altresì, di soddisfare i requisiti di cui all’articolo 52, paragrafo 1, della Carta e, in particolare, ha l’obbligo di effettuare una valutazione della proporzionalità della misura restrittiva in modo che le restrizioni siano limitate a quanto strettamente necessario.

Le nuove clausole contrattuali standard della Commissione UE: ecco la privacy post Schrems II

L’elenco contenuto all’art. 23 è da ritenersi del tutto tassativo e non passibile di estensione. Anche in situazioni eccezionali, la protezione dei dati personali non può essere limitata nella sua interezza, dovendo essere sempre rispettati i principi generali del diritto, l’essenza dei diritti e delle libertà fondamentali; la restrizione, inoltre, non deve essere irreversibile. Inoltre, resta fermo il principio di accountability di cui all’art. 5 par. 2 GDPR: ciò significa che il titolare del trattamento risponde del trattamento medesimo e deve essere in grado di dimostrare agli interessati la sua conformità al quadro dell’UE in materia di protezione dei dati, compresi i principi relativi al trattamento dei loro dati.

L’art. 23 e il significato di “limitazioni”

Come precisato dai Garanti Europei, nelle linee guida il termine “restrizioni” (o limitazioni) viene definito come “qualsiasi limitazione dell’ambito di applicazione degli obblighi e dei diritti previsti dagli articoli da 12 a 22 e 34 GDPR, nonché dalle corrispondenti disposizioni dell’articolo 5 in conformità con l’articolo 23 GDPR”. Gli interessi per i quali il trattamento può essere limitato, come detto precedentemente sono esplicitamente elencati nell’art. 23. Non solo: i motivi della restrizione devono essere resi chiari e leciti. In relazione a quest’ultimo profilo, si rileva che “per essere lecite, le restrizioni sono previste in un provvedimento legislativo, riguardano un numero limitato di diritti degli interessati e/o degli obblighi del responsabile del trattamento elencati nell’articolo 23 del GDPR6, rispettano l’essenza dei diritti e delle libertà fondamentali in questione, sono una misura necessaria e proporzionata in una società democratica e salvaguardano uno dei motivi di cui all’articolo 23, paragrafo 1, del GDPR”, e, come indicato nel considerando 73 del GDPR, dovrebbero essere conformi ai requisiti stabiliti nella Carta e nella Convenzione europea per la protezione dei diritti dell’uomo e delle libertà fondamentali.

Ad ogni modo, le misure legislative che stabiliscono delle limitazioni dei diritti degli interessati possono anche prevedere che “l’esercizio di un diritto sia ritardato nel tempo, che un diritto sia esercitato parzialmente o circoscritto a determinate categorie di dati o che un diritto possa essere esercitato indirettamente attraverso un’autorità di controllo indipendente”.

Ne deriva che “restrizioni estese e invadenti”, nella misura in cui annullano un diritto fondamentale del suo contenuto fondamentale, non possono essere giustificate. Non solo: senza una precisa misura legislativa, i titolari del trattamento non possono attuare le restrizioni dei diritti degli interessati invocando direttamente i motivi di cui all’articolo 23, paragrafo 1, del GDPR. Anzi, precisa l’EDPB, “il diritto interno deve essere sufficientemente chiaro nei suoi termini per fornire ai singoli un’indicazione adeguata delle circostanze e delle condizioni in cui i responsabili del trattamento sono autorizzati a ricorrere a tali restrizioni. Lo stesso rigoroso standard dovrebbe essere applicato per le restrizioni che potrebbero essere imposte dagli Stati membri. Tale legame tra le restrizioni previste e l’obiettivo perseguito dovrebbe essere chiaramente stabilito e dimostrato nella misura legislativa in questione o in documenti supplementari”. Ad esempio, l’esistenza di una pandemia non viene ritenuta dalle linee guida motivo sufficiente, di per sé, per prevedere delle restrizioni ai diritti degli interessati.

Le motivazioni

L’EDPB analizza, poi, le motivazioni che possono sottostare alla previsione legislativa di una restrizione dei diritti dell’interessato, rifacendosi al testo della norma stessa e andando a specificare alcune di esse.

L’art. 23, individua, infatti, come misure da salvaguardare mediante le restrizioni:

  1. la sicurezza nazionale;
  2. la difesa;
  3. la sicurezza pubblica (inclusa la necessità di tutelare la vita umana a seguito del verificarsi di disastri naturali o causati dall’uomo);
  4. la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica: in questa ipotesi, le informazioni sul trattamento saranno rese nel momento in cui non sussista più la possibilità di compromettere l’indagine in corso. Ciò significa, secondo l’EDPB, “che una specifica informativa sulla protezione dei dati (su misura) dovrebbe essere data all’interessato il più presto possibile, indicando i diversi diritti come l’accesso, la rettifica, ecc.”;
  5. altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale: ad esempio, un’amministrazione fiscale può imporre restrizioni ai diritti di accesso dell’interessato se è in corso sotto un’indagine condotta dalla medesima sul rispetto dei doveri dell’interessato e tale accesso metterebbe a repentaglio l’indagine in corso;
  6. la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari;
  7. le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate: tuttavia, se l’accertamento riguarda comportamenti criminali e fattispecie che costituiscono forme di reato, la base per la restrizione imposta è l’accertamento di reati descritto precedentemente;
  8. una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a), a e) e g);
  9. la tutela dell’interessato o dei diritti e delle libertà altrui: ad esempio, lo svolgimento di un’indagine amministrativa e/o procedimento disciplinare o indagine su accuse di molestie sul posto di lavoro;
  10. l’esecuzione delle azioni civili.

Diritti degli interessati e obblighi del titolare che possono essere limitati

In relazione ai diritti e agli obblighi che possono essere oggetto di limitazione ai sensi dell’art. 23 GDPR, si precisa che “solo gli articoli da 12 a 22, l’articolo 34 del GDPR e l’articolo 5 nella misura in cui le sue disposizioni corrispondono ai diritti e agli obblighi di cui agli articoli da 12 a 22 possono essere limitati”.

Le limitazioni devono essere, come già ribadito, devono essere debitamente giustificate da una situazione eccezionale, “nel rispetto del principio essenziale dei diritti e delle libertà fondamentali in questione” e a seguito del positivo svolgimento di un test di necessità e proporzionalità.

“Va notato”, dice a corredo di tale argomento l’EDPB, “che l’articolo 5 del GDPR può essere limitato solo nella misura in cui le sue disposizioni corrispondono ai diritti e agli obblighi previsti dagli articoli da 12 a 22 del GDPR”. Ne consegue che gli ulteriori diritti e obblighi – come il diritto di presentare un reclamo all’Autorità Garante ai sensi dell’art. 77 GDPR – non possono essere limitati.

Il “Necessity and proportionality test”

Il test di “necessità e proporzionalità” deve essere condotto prima di porre in essere la restrizione, secondo quanto statuito dal Comitato. L’obiettivo da salvaguardare, secondo quanto indicato dall’art. 23, fornisce il contesto in base al quale può essere valutata la necessità della misura. È quindi importante individuare detto obiettivo in modo sufficientemente dettagliato, al fine di consentire la valutazione della (rigorosa) necessità della misura. Ad esempio, afferma EDPB, se nei procedimenti amministrativi è necessario limitare parte dell’indagine, ma alcune informazioni possono già essere divulgate agli interessati, tali informazioni dovrebbero essere comunque fornite alla persona.

Se tale prova di necessità della misura di restrizione è soddisfatta, sarà valutata la proporzionalità della misura stessa. Se il progetto di misura non supera il test di necessità, non è necessario esaminarne la proporzionalità. La restrizione, per potersi ritenere proporzionale, deve essere idonea a conseguire gli obiettivi legittimi perseguiti dalla normativa controversa e non eccedere i limiti di quanto è appropriato e necessario per il raggiungimento di tali obiettivi.

EDPB pubblica le raccomandazioni sul trasferimento dati: ecco le nuove misure supplementari

A tal riguardo, le linee guida precisano che, secondo la giurisprudenza della CGUE, “l’articolo 23 del GDPR non può essere interpretato nel senso che esso può conferire agli Stati membri il potere di pregiudicare il rispetto della vita privata, in violazione dell’articolo 7 della Carta o di una qualsiasi delle altre garanzie ivi sancite. In particolare, il potere conferito agli Stati membri dall’articolo 23, paragrafo 1, del GDPR può essere esercitato solo in conformità del requisito di proporzionalità, secondo il quale le deroghe e le limitazioni in materia di protezione dei dati personali devono applicarsi solo nella misura strettamente necessaria”. Una misura di restrizione dei diritti e degli obblighi, pertanto, dovrebbe essere corroborata da elementi di prova che descrivano:

  • il problema che tale misura deve affrontare;
  • il modo in cui sarà affrontata da essa;
  • il motivo per cui le misure esistenti o meno intrusive non possono affrontarlo in misura sufficiente.

Permane, inoltre, l’obbligo di dimostrare “in che modo qualsiasi interferenza o restrizione proposta soddisfi effettivamente gli obiettivi di interesse generale dello Stato e dell’UE o la necessità di proteggere i diritti e le libertà altrui. La limitazione dei diritti di protezione dei dati dovrà concentrarsi su rischi specifici”.

I requisiti fondamentali delle misure restrittive

Ogni misura legislativa adottata sulla base dell’art. 23 GDPR che imponga delle restrizioni deve contenere una serie di elementi e rispettare una serie di specifici criteri, enunciati dalle linee guida:

  • le categorie di dati personali oggetto della restrizione, specie se appartenenti alle categorie di dati c.d. particolari;
  • lo scopo della restrizione, con l’indicazione anche di quali diritti sono limitati e per quanto tempo;
  • la descrizione delle misure di salvaguardia a prevenzione dell’abuso o dell’illegittimo accesso o trasferimento: Ciò si riferisce in particolare alle misure organizzative e/o tecniche necessarie per evitare violazioni o trasferimenti illeciti come la conservazione in modo sicuro di documenti fisici;
  • la specificazione di quale titolare o di quali categorie di titolari siano coinvolti;
  • il periodo di conservazione: ad esempio, questo potrebbe essere calcolato come la durata dell’operazione di trattamento più il tempo aggiuntivo per potenziali controversie;
  • I rischi per i diritti e le libertà degli interessati: da un lato, ciò fornisce una panoramica del potenziale impatto delle restrizioni sugli interessati. D’altra parte, fornisce elementi necessari per la conduzione della prova di necessità e proporzionalità delle restrizioni. “A tal riguardo e se del caso”, precisa l’EDPB, “dovrebbe essere presa in considerazione una valutazione d’impatto sulla protezione dei dati (DPIA). Il legislatore dovrebbe valutare i rischi per i diritti e le libertà dell’interessato dal punto di vista degli interessati”.
  • Il diritto dell’interessato di essere informato sulla restrizione, salvo che ciò non comporti un pregiudizio per il raggiungimento delle finalità della restrizione stessa.

Il principio di accountability

L’art. 23 GDPR non fa venir meno i principi generali della normativa privacy europea, ed in particolare il principio dell’accountability del titolare e del responsabile del trattamento.

Anzi, alla luce del principio di responsabilizzazione (articolo 5, paragrafo 2, del GDPR), “sebbene non faccia parte dei registri richiesti ai sensi dell’articolo 30 del GDPR, è buona norma”, afferma il Comitato, “che il responsabile del trattamento documenti l’applicazione delle restrizioni su casi concreti tenendo un registro della loro applicazione. Tale registrazione dovrebbe includere i motivi applicabili alle restrizioni, che si applicano tra quelli elencati all’articolo 23, paragrafo 1, del GDPR (laddove la misura legislativa consenta restrizioni per motivi diversi), la sua tempistica e l’esito del test di necessità e proporzionalità. Le registrazioni dovrebbero essere messe a disposizione, su richiesta, dell’autorità di controllo della protezione dei dati”.

Nel caso in cui il Titolare abbia nominato il DPO, quest’ultimo dovrebbe essere informato, almeno in generale, senza indebito ritardo dell’avvenuta limitazione dei diritti dell’interessato. Il titolare, conclude l’EDPB, dovrebbe revocare le restrizioni non appena le circostanze che le giustificano non si applicano più e, se gli interessati non sono ancora stati informati delle restrizioni poste nei loro confronti prima del venir meno delle circostanze che le giustificavano, dovrebbero essere rese loro le dovute informazioni “al più tardi al momento della revoca della restrizione”.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 5