Limitazioni ai diritti degli interessati: le regole nelle nuove linee guida EDPB - Cyber Security 360

GDPR

Limitazioni ai diritti degli interessati: le regole nelle nuove linee guida EDPB

L’EDPB ha pubblicato le nuove linee guida aventi ad oggetto l’art. 23 GDPR sulle limitazioni ai diritti degli interessati, nella loro versione per la pubblica consultazione: l’obiettivo del Comitato europeo per la protezione dei dati è precisare il giusto significato da dare alla parola “limitazione”

23 Dic 2020
C
Marina Rita Carbone

Consulente privacy

Il GDPR, oltre a delineare la disciplina generale del trattamento dei dati personali, indica anche specifiche situazioni di trattamento (Capo IX) chiarendo varie ipotesi di bilanciamento e deroga alla tutela prevista nella prima parte del Regolamento stesso: in particolare, è all’articolo 23 sulle limitazioni ai diritti degli interessati, inserito a chiusura del Capo III, Sezione 5, che possono essere ricondotte le ipotesi di deroga presenti nel GDPR.

Per fare chiarezza in questa delicata questione, l’EDPB ha pubblicato lo scorso 15 dicembre 2020 le nuove linee guida aventi ad oggetto l’art. 23 GDPR, nella loro versione per la pubblica consultazione che si concluderà il prossimo 12 febbraio 2021.

Il significato di “limitazioni” ai diritti degli interessati

L’art. 23 GDPR, lo ricordiamo, prevede che “Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli 12 a 22 e 34, nonché all’articolo 5”.

In primo luogo, l’EDPB precisa quale sia il giusto significato da dare alla parola “limitazione”, in quanto il GDPR non ne contiene una precisa definizione.

Esso è da intendersi genericamente come “qualsiasi limitazione dell’ambito di applicazione degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34 GDPR, nonché delle corrispondenti disposizioni dell’articolo 5 ai sensi dell’articolo 23 GDPR”.

Una limitazione degli obblighi e dei diritti normativi, tuttavia, deve essere posta a salvaguardia di obiettivi di particolare rilevanza come, ad esempio, la protezione dei diritti e delle libertà di altri soggetti o il perseguimento di un interesse pubblico generale dell’UE o di uno Stato Membro.

Gli interessi pubblici meritevoli di protezione

La lista degli interessi pubblici ritenuti meritevoli di protezione, con sacrificio dei diritti di cui ai citati articoli, è contenuta al par. 1 dell’art. 23 GDPR, e sono:

  1. la sicurezza nazionale;
  2. la difesa;
  3. la sicurezza pubblica (ad esempio la risposta a disastri naturali);
  4. la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica (ad esempio, può limitarsi l’accesso ai dati per salvaguardare il buon esito delle indagini);
  5. altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale;
  6. la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari;
  7. le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate (in particolar modo per le violazioni commesse da medici e avvocati);
  8. una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a), a e) e g);
  9. la tutela dell’interessato o dei diritti e delle libertà altrui;
  10. l’esecuzione delle azioni civili.

I motivi per i quali si limitano i diritti devono essere sempre ben chiari all’interessato. Ne deriva che, per poter essere lecite, le limitazioni dovranno essere previste all’interno di una misura legislativa, oltre che riguardare un numero limitato di diritti degli interessati e/o obblighi del titolare del trattamento.

Inoltre, ai sensi di quanto contenuto nel Considerando 73 GDPR, le limitazioni dovrebbero essere conformi alla Carta dei Diritti fondamentali dell’Unione Europea e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali.

I requisiti richiesti per le limitazioni ai diritti degli interessati

La norma esaminata dall’EDPB enuncia una serie di requisiti che le misure legislative devono possedere per poter rappresentare un motivo legittimo di limitazione dei diritti:

  1. Deve essere garantito il rispetto dell’essenza dei diritti e delle libertà fondamentali degli interessati. Non può ritenersi legittima, pertanto, una limitazione dei diritti degli interessati di natura particolarmente estensiva e intrusiva, ove vada a compromettere la ratio stessa di un diritto fondamentale.
  2. La base legale o legislativa della misura di limitazione deve essere chiara e identificata con precisione. Anche la connessione tra la limitazione prevista e l’obiettivo perseguito deve essere chiaramente espressa. Inoltre, la sua applicazione deve essere prevedibile dalle persone che vi sono soggette, in accordo con quanto previsto dalla giurisprudenza della Corte di Giustizia Europea e dalla Corte Europea dei Diritti dell’Uomo. Le norme nazionali che impongono delle limitazioni all’esercizio dei diritti devono anche fornire ai cittadini indicazioni adeguate circa le circostanze e le condizioni entro le quali i titolari possono applicare tali limitazioni, anche senza che le stesse siano limitate nei tempo o collegate ad uno specifico arco temporale (si pensi alle norme che disciplinano le indagini penali, finalizzate al raggiungimento di un obiettivo continuato nel tempo e rispondenti a principi cardine del diritto processuale nazionale).
  3. Lo svolgimento del test di necessità e proporzionalità dovrà svolgersi principalmente in due fasi: l’identificazione dell’interesse da tutelare e l’analisi delle misure necessarie al perseguimento dell’obiettivo individuato. Il test dovrà necessariamente tener conto del contesto in cui le limitazioni sono poste e di ogni ulteriore circostanza possa risultare rilevante all’analisi dell’impatto delle stesse sui diritti e sulle libertà degli interessati. Sulla base del principio di proporzionalità, il contenuto dell’atto legislativo che prevede le misure restrittive, non potrà eccedere non può eccedere quanto strettamente necessario per salvaguardare gli obiettivi. Una misura di restrizione proposta dovrebbe essere supportata da una descrizione analitica del problema che deve essere affrontato, delle modalità con le quali lo stesso sarà affrontato e delle motivazioni per le quali le misure esistenti o meno invadenti non siano sufficienti.
  4. Deve essere garantita la tutela di un interesse pubblico generale, per come sopraelencati.
  5. Le limitazioni ai principi di data protection devono essere giustificate da una situazione eccezionale, nonché rispondere a principi di necessità e proporzionalità. La sussistenza di questi ultimi deve essere verificata tramite l’esecuzione di un test di “necessità e proporzionalità”. Sono da ritenersi comunque esercitabili i diritti non richiamati dall’art. 23 GDPR, come il diritto di proporre un reclamo all’Autorità Garante, ai sensi dell’art. 77 GDPR.

In aggiunta a tali requisiti, il par. 2 dell’art. 23 prevede che qualsiasi misura legislativa adottata sulla base delle previsioni di cui al paragrafo 1 debba contenere delle disposizioni che descrivano almeno, se del caso:

  1. le finalità del trattamento o le categorie di trattamento prese in considerazione;
  2. le categorie di dati personali oggetto della limitazione, specialmente ove siano coinvolti dati c.d. particolari, per le quali la limitazione dei diritti/obblighi previsti dal GDPR potrebbe causare un maggiore impatto sugli interessati;
  3. la portata delle limitazioni introdotte, ossia quali diritti/obblighi sono limitati e per quanto tempo;
  4. le garanzie previste al fine di prevenire abusi o l’accesso o il trasferimento illeciti: nello specifico, l’indicazione delle misure tecnico-organizzative necessarie a prevenire dei breaches, oltre alla previsione di revisioni periodiche delle misure normativa prevista, che possano anche verificare la sussistenza, nel tempo, delle cause giustificative della limitazione dei diritti/obblighi;
  5. l’indicazione precisa del titolare del trattamento o delle categorie di titolari coinvolti (per far comprendere all’interessato, al termine del periodo di limitazione, quali siano i soggetti cui rivolgere le proprie richieste);
  6. i periodi di conservazione e le garanzie applicabili, tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento (ad esempio, il periodo di conservazione potrebbe essere calcolato come la durata del trattamento più l’ulteriore termine necessario all’instaurazione di potenziali contenziosi);
  7. i rischi per i diritti e le libertà degli interessati (per come valutati nel corso del test di necessità e proporzionalità, la cui finalità è quella, come detto, di valutare il potenziale impatto delle limitazioni sui soggetti interessati. Il legislatore dovrebbe valutare i rischi per i diritti e le libertà dell’interessato dal punto di vista degli interessati. “Non è sempre obbligatorio eseguire una DPIA”, afferma l’EDPB, “ma i rischi concreti per gli interessati – come la profilazione errata che porta alla discriminazione, la ridotta dignità umana, la libertà di parola, il diritto alla privacy e alla protezione dei dati, un impatto maggiore sui gruppi vulnerabili (come i bambini o le persone con disabilità), per citarne alcuni – possono essere indicati nel provvedimento legislativo, se applicabile)”;
  8. il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa.

Il principio di accountability

Alla luce del principio di accountability (ossia, del principio di responsabilizzazione), di cui all’art. 5 GDPR, il titolare dovrebbe documentare tutti i casi in cui applica le limitazioni previste dal legislatore, tenendone accuratamente traccia all’interno di un report, che faccia menzione anche delle motivazioni per le quali si è ritenuto di dover fare applicazione di una specifica limitazione di un diritto o di un obbligo previsto dal GDPR.

È fatta salva la facoltà, per il titolare, di richiedere un parere motivato al Garante in merito alla corretta applicazione della limitazione.

Esercizio dei diritti dell’interessato dopo la rimozione della limitazione

Il controllore, ossia il titolare del trattamento, dovrebbe revocare le limitazioni poste in essere non appena le circostanze che le giustificano non siano più applicabili al caso concreto.

Se gli interessati non sono ancora stati informati delle limitazioni sussistenti prima di quel momento, dovrebbero essere informati della loro rimozione al massimo quando le stesse vengono revocate.

La revoca della limitazione deve essere documentata nel report precedentemente indicato, e rappresenta il momento dal quale si permette agli interessati di esercitare tutti i loro diritti.

Se il titolare del trattamento non consente agli interessati di esercitare i propri diritti dopo la revoca della restrizione, l’interessato può presentare un reclamo all’Autorità Garante.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5