Recentemente è stata rilasciata la versione definitiva delle linee guida EDPB circa i casi in cui è possibile applicare delle limitazioni ai diritti degli interessati. Le limitazioni, previste dall’articolo 23 del GDPR riguardano la portata degli obblighi e dei diritti degli articoli da 12 a 22 e 34 GDPR, nonché dalle corrispondenti disposizioni dell’articolo 5 in conformità con l’articolo 23 GDPR.
Le linee guida erano state pubblicate dall’EDPB (Comitato Europeo per la Protezione dei Dati) l’anno scorso, ma è solo di recente che è stato rilasciato il documento definitivo.
Ecco la sintesi del suo contenuto.
Requisiti affinché una limitazione ai diritti degli interessati sia valida
Secondo le linee guida EDPB, affinché siano applicabili delle limitazioni ai diritti degli interessati, queste devono essere:
- Previste dalla legge, quindi introdotte dal legislatore europeo o nazionale
- Coerenti con il contenuto essenziale dei diritti e delle libertà, quindi rispettose dell’articolo 52 della Carta dei Diritti Fondamentali dell’Unione Europea
- Relative a un numero limitato di diritti degli interessati e/o degli obblighi del responsabile del trattamento elencati nell’articolo 23 del GDPR
- Necessari per rispondere effettivamente a “finalità di interesse generale riconosciute dall’Unione o all’esigenza di protegge i diritti e le libertà altrui”
- Rispettosi del principio di proporzionalità
Se rispettano questi requisiti, le restrizioni possono essere considerate “lecite”.
Il tipo di limitazioni ai diritti degli interessati che si possono attuare
Le restrizioni che possono essere introdotte dal legislatore (nel caso queste rispettino i requisiti sopra indicati), riguardano la possibilità che l’esercizio di un diritto sia:
- ritardato nel tempo
- esercitato parzialmente
- circoscritto a determinate categorie di dati
- esercitato indirettamente attraverso un’autorità di controllo indipendente.
Detto ciò, anche in situazioni eccezionali, è fondamentale che:
- La protezione dei dati personali non sia mai limitata nella sua interezza
- Rispetti sempre i principi generali del diritto, l’essenza dei diritti e delle libertà fondamentali
- La restrizione sia sempre reversibile.
- I motivi della restrizione siano stati resi chiari e leciti.
In merito alla chiarezza, l’EDPB prevede che il legislatore che desidera introdurre una limitazione fornisca la documentazione necessaria per stabilire e dimostrare il nesso tra le restrizioni previste e l’obiettivo che si desidera perseguire con esse.
Le aree di applicazione delle limitazioni
Secondo quanto elencato nell’articolo 23 del GDPR, le aree di applicazione delle possibili restrizioni devono essere legate alla salvaguardia di:
- Sicurezza nazionale, sicurezza pubblica e difesa
- Indagini e controlli (anche preventivi) connessi a reati e violazioni (penali, amministrativi, disciplinari, legati alla deontologia delle professioni regolamentate o all’esercizio di pubblici poteri)
- La salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari
- L’esecuzione delle azioni civili
- Altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale
L’elenco contenuto all’art. 23 del GDPR è da ritenersi del tutto tassativo e non passibile di estensione.
Test di necessità e di proporzionalità delle limitazioni
Per poter approvare una restrizione, è richiesto che questa superi prima di tutto la valutazione di necessità in merito alle situazioni indicate nell’articolo 23 del GDPR. Nel caso superi la prova, si può procedere al test di proporzionalità, cioè la verifica che la limitazione sia applicata solo nella misura strettamente necessaria.
Per poter superare queste due valutazioni sarà necessario presentare prove e documenti dimostranti che:
- La limitazione contribuirà ad affrontare un problema specifico (e non generale)
- Come verrà attuata per affrontarlo
- Le motivazioni per cui le misure esistenti, o altre misure meno intrusive, non sono sufficienti per affrontarlo in modo efficace.
Attività per il titolare/responsabile del trattamento che applica le restrizioni
Una volta approvate dal legislatore, le limitazioni possono essere applicate dal titolare/responsabile del trattamento. Ma, come sottolineato nelle linee guida EDPB, “è buona norma che il responsabile del trattamento documenti l’applicazione delle restrizioni su casi concreti tenendo un registro della loro applicazione”.
Tale registro, sempre secondo l’EDPB, dovrebbe includere:
- i motivi applicabili alle restrizioni
- la sua tempistica
- l’esito del test di necessità e proporzionalità.
Le registrazioni dovrebbero essere messe a disposizione, su richiesta, dell’autorità di controllo della protezione dei dati
Infine, il titolare dovrebbe:
- revocare le restrizioni non appena le circostanze che le giustificano siano venute meno
- informare dell’avvenuta limitazione il DPO (se nominato).
Queste attività si andranno quindi ad aggiungere a quelle già svolte dal titolare e/o dal responsabile del trattamento.
Sei sicuro che la tua azienda stia implementando tutte le attività richieste dal GDPR in qualità di titolare del trattamento o del responsabile? Se la risposta è no, contattaci per una consulenza sul tema!