Non sempre l’esercizio dei diritti individuali da parte degli interessati può essere rispettato. Le eventuali limitazioni non sono mai la regola e non sono mai perpetue: se mai comprimono il diritto senza annullarlo del tutto, oppure ne ritardano la sua piena operatività ad un momento successivo. Per chiarire la situazione, a dicembre 2020 l’EDPB ha reso pubbliche le linee guida che approfondiscono il tema.
Leggi le Linee guida EDPB – PDF
L’attualità delle linee guida EDPB
L’EDPB, nel suo ruolo di interprete delle disposizioni del GDPR, si è soffermato sull’analisi della disposizione di cui all’articolo 23, analizzando in maniera approfondita e dettagliata quel ventaglio di circostanza, di natura limitata ed eccezionale, che permettono al legislatore (comunitario o nazionale) di intervenire sulla sfera dell’esercizio del diritto del singolo per limitarne la portata, al fine di proteggere o dare effettività ad un’altra esigenza meritevole di tutela.
Il tema è di grande attualità considerata la situazione di emergenza sanitaria: il Comitato ci offre casistiche ed esempi legati proprio all’esigenza di tutelare la sicurezza e la salute pubblica. Tale esigenza che può, nei limiti e con le garanzie richieste dalla normativa, richiedere delle limitazione all’esercizio dei diritti individuali degli interessati in materia di trattamento dei propri dati personali.
Il contesto normativo
Il GDPR permette al diritto dell’Unione o di uno Stato Membro, in alcuni casi particolari, di porre delle limitazioni all’adempimento di alcuni obblighi o all’esercizio di alcuni diritti nascenti dal GDPR. Ad esempio, vi sono circostanze in cui all’interessato non è garantito il pieno diritto di accesso, oppure non viene informato tempestivamente circa i trattamenti effettuati sui propri dati personali: ciò può accadere nel contesto di indagini investigative, o di procedimenti giudiziari.
Queste restrizioni che devono sempre avere un carattere di “eccezionalità”, e in quanto eccezioni, non possono essere interpretate in maniera estensiva, ma possono al applicate solo in alcune casistiche stabilite a monte dal legislatore e solo in presenza di alcuni necessari correttivi.
Quando è legittima la restrizione dei diritti individuali
Affinché una restrizione ad un diritto individuale possa considerarsi legittima, deve rispettare l’essenza del diritto oggetto della restrizione stessa. Ciò vuol dire che non possono essere giustificate restrizioni di portata così estesa e così intrusive da vanificare il contenuto essenziale del diritto. Allo stesso modo, sono da escludersi limitazioni generalizzate all’esercizio dei diritti: in generale, se risulta compromessa l’essenza del diritto, la restrizione non può essere, a monte, essere considerata legittima.
Una restrizione può essere legittima, inoltre, solo se sancita dal diritto dell’Unione o di uno Stato Membro. Come chiarito dai considerando del GDPR, la legge che prevede una limitazione deve essere chiara e precisa, e il suo ambito di applicazione deve essere facilmente prevedibile ed individuabile dai suoi destinatari. Ciò vuol dire, come chiarisce il Comitato, che il cittadino deve essere messo in condizione di comprendere le circostanze e le condizioni in cui i Titolari possono limitare l’esercizio dei suoi diritti, in modo tale da poterne prevedere l’applicazione.
Ancora, nell’interpretazione del Comitato, il concetto di prevedibilità non necessariamente vuol dire che le restrizioni devono essere legate ad una cornice temporale predefinita, se le esigenze sottese non sono limitate nel tempo. Ad esempio, l’esigenza di salvaguardare il buon andamento delle indagini investigative o dei procedimenti giudiziari può considerarsi sempre sussistente e, in una società democratica, è giusto che venga salvaguardata su base continuativa.
Nella maggior parte dei casi, tuttavia, il campo di applicazione della restrizione deve essere limitato nel tempo dalla stessa normativa che lo legittima, in conformità con il criterio della “prevedibilità”. Ad esempio, restrizioni che si rendono eventualmente necessarie in una situazione di emergenza sanitaria (scenario, peraltro, attualissimo) e che sono imposte per un periodo di tempo non precisato, sono retroattive o sono soggette a condizioni non definite, non soddisfano il requisito della prevedibilità secondo l’EDPB e quindi devono considerarsi illegittime. Ancora chiarisce il Comitato, la mera esistenza di una pandemia non è da sola in grado di giustificare restrizioni ai diritti individuali: al contrario, al singola restrizione, per essere legittima e giustificata nel caso concreto, deve effettivamente contribuire alla salvaguardia di un importante obbiettivo di pubblico interesse, quale può essere la tutela della salute pubblica.
Poiché una misura legislativa che dispone una restrizione si possa applicare ad una situazione concreta, deve sussistere almeno una delle condizioni elencate dal comma primo dell’art. 23: la lista è chiusa, e non sono ammesse casistiche ulteriori.
Infine, sottolinea il Comitato, non tutte le previsioni del GDPR sono suscettibili di restrizioni: dal dato letterale dell’art. 23 emerge infatti che le restrizioni sono applicabili solo all’art. 5 (nella misura in cui le sue previsioni corrispondano a diritti ed obblighi statuiti negli articoli da 12 a 22) e agli articoli da 12 a 22 e 34 del GDPR. Ci sono invece dei diritti che mai possono essere limitati come, ad esempio il diritto di proporre un reclamo all’autorità giudiziaria.
Principi di necessità e proporzionalità
Come principio generale, qualsiasi restrizione ad un diritto individuale è lecita solo se necessaria e proporzionale in una società democratica. La necessità della misura restrittiva va in primis valutata con riferimento all’interesse generale in gioco. Se questo primo requisito è soddisfatto, si può procedere alla valutazione della proporzionalità della misura limitativa.
Una restrizione, quando proposta, deve essere supportata da chiare evidenze fattuali, che descrivano il problema da affrontare con l’adozione della misura, e chiariscono inoltre perché eventuali esistenti misure meno pervasive non siano risultate sufficienti allo scopo. Ancora una volta il Comitato riporta una casistica esemplificativa di grande attualità: restrizioni che contribuiscono a salvaguardare la salute pubblica in caso di emergenza, devono avere un ambito di applicazione molto limitato, e devono chiaramente definire le finalità, le categorie di interessati coinvolti, e le categorie di Titolari coinvolti oltre che, come già chiarito, la cornice temporale di riferimento. Il principio guida a tal proposito deve essere, nelle parole del comitato: “i diritti degli interessati possono essere limitati, ma non negati”.
Qualsiasi legislazione adottata sulla base dell’art. 23 deve rispettare requisiti ulteriori, elencati dal testo della disposizione. In particolare, le misure che stabiliscono restrizioni devono contenere previsioni specifiche relative ad una serie di criteri, che attengono a:
- Categorie di dati personali, da indicare specificamente nella misura legislativa, con particolare attenzione alle categorie particolari di dati personali;
- Portata delle restrizioni, inclusa l’indicazione dei diritti coinvolti e dell’entità della limitazione;
- Garanzie per prevenire abusi, accessi o trasferimenti illeciti. Tale indicazione si riferisce nello specifico alla presenza di misure tecniche ed organizzative necessarie al fine di assicurare sicurezza ed integrità dei dati;
- Indicazione precisa del Titolare o delle categorie di Titolari, che serve da un lato a garantire certezza del diritto in relazione al riparto di responsabilità, dall’altro ad assicurare chiarezza agli interessati;
- Periodi di conservazione e ulteriori garanzie applicabili, tenuto conto della natura, della finalità e dei trattamenti effettuati in concreto;
- Rischi per i diritti e le libertà degli interessati a causa della restrizione. La valutazione dei rischi ha una duplice rilevanza: fornisce una panoramica generale sui potenziali impatti della restrizione sugli interessati ed è centrale nell’assessment di necessità e proporzionalità. Sul punto, specifica il Comitato, deve essere considerato, ove applicabile, il ricorso ad una Valutazione di impatto. In ogni caso, anche nei casi in cui non sia obbligatorio procedere ad una DPIA, è necessario, nelle indicazioni del Comitato, includere le risultanze dell’assessment nei considerando della norma limitativa o nei memorandum esplicativi;
- Diritto degli interessati ad essere informati della limitazione. Gli interessati devono essere informati, anche tramite una semplice informativa, circa l’esistenza di una restrizione all’esercizio dei loro diritti. Tale principio generale conosce un’importante eccezione, ovvero quando la conoscenza da parte dell’interessato può pregiudicare le medesime ragioni che hanno resa necessaria, a monte, la restrizione. Classico esempio riportato dal Comitato sul punto, sono le limitazioni giustificate da finalità di salvaguardia e corretto andamento di indagini e investigazioni giudiziarie. In tali casi eccezionali, infatti, informare l’interessato dell’esistenza o delle motivazioni della restrizione avrebbe come conseguenza quella di cancellare l’effetto della restrizione stessa, a condizione sempre che la restrizione sia legittima e strettamente necessaria nel caso concreto. In tali casi viene ancora precisato, il diritto all’informazione non viene eliminato, ma viene semplicemente rimandato ad uno stadio successivo (ad esempio, quando le investigazioni sono concluse).
Il ruolo delle Autorità di controllo
In linea con il principio di accountability, i Titolari devono documentare l’applicazione di limitazioni a diritti individuali in casi concreti, mantenendo un apposito registro. Questo registro deve contenere la motivazione che ha reso necessaria la restrizione, la base giuridica fra quelle elencate al primo comma dell’art. 23, le tempistiche nonché il risultato dell’assessment di necessità e proporzionalità. Il registro, inoltre, deve contenere anche il termine finale della restrizione, ovvero il momento in cui la limitazione al diritto viene meno, e diventa nuovamente possibile per gli interessati esercitare il diritto. Tale registro deve essere messo a disposizione, su richiesta, dell’Autorità di controllo competente.
Ancora, qualsiasi restrizione di un diritto individuale adottata da uno stato membro sulla base dell’art. 23 richiede una preventiva consultazione da parte dell’autorità. L’autorità può, in questo contesto, fornire consulenza sulle misure legislative relative alla protezione dei diritti e delle libertà degli individui, in relazioni al trattamento dei loro dati personali. Ancora, ove l’autorità non ritenga sufficiente l’assessment di necessità e proporzionalità della misura, può richiedere che i Titolari effettuino una Valutazione d’impatto, anche nei casi in cui questa non è obbligatoria.
Infine, ed in caso di violazioni della normativa, l’Autorità di controllo avrà il potere di portare tale violazione all’attenzione dell’autorità giudiziaria. Infatti, ed in conformità con il principio di supremazia del diritto Europeo, il diritto di disapplicare la normativa nazionale contraria al diritto dell’Unione compete non solo alle corti nazionali, ma anche agli organi di stato e alle autorità amministrative nell’esercizio dei rispettivi poteri.
Conclusione
In definitiva il Comitato nella sua analisi, oltre a fornire importanti chiarimenti e semplificazioni in tema di applicazione dell’art.23, coglie l’occasione per sottolineare ancora una volta l’importanza dei principi generali su cui si basa il GDPR, e che devono sempre guidare l’interpretazione e l’applicazione della normativa. Essenziale quindi il rispetto dei principi cardine di necessità e proporzionalità, nonché del principio di accountability, che attribuisce ai Titolari precise responsabilità quando esigenze specifiche impongono una limitazione dell’esercizio dei diritti individuali degli interessati.
