Decreto legislativo - 18/05/2018 - n. 51 art. 12 - Diritto di rettifica o cancellazione di dati personali e limitazione di trattamento

Diritto di rettifica e integrazione

Il diritto di rettifica comprende il diritto di modifica, correzione, integrazione ed aggiornamento dei dati e attua il più ampio diritto all'identità personale, inteso come rappresentazione veritiera della propria identità e personalità (Belisario, 176).

In particolare, il diritto di rettifica è strettamente connesso al principio di esattezza dei dati di cui all'art. 3 d.lgs. n. 51/2018, e consiste nel diritto di ottenere la correzione di eventuali inesattezze. Pertanto, può riguardare unicamente dati oggettivi, e non dati valutativi, non essendo ipotizzabile utilizzare il parametro dell'inesattezza con riferimento alle valutazioni e a giudizi soggettivi altrui (Pelino, 256).

Anche il considerando n. 47 della Direttiva 2016/680 precisa che una persona dovrebbe avere il diritto di rettifica dei dati che la riguardano “soprattutto se relativi a fatti” e che in particolare il diritto di rettifica non deve poter essere esercitato ed avere effetti sul contenuto di atti valutativi, quali le dichiarazioni testimoniali.

Non è prevista alcuna formalità particolare per l'esercizio del diritto, né la necessità di indicare la motivazione.

Quanto al diritto di integrazione, lo stesso può essere esercitato anche fornendo una dichiarazione suppletiva. Tale diritto va esercitato “tenuto conto delle finalità del trattamento”. Se infatti da un lato il diritto alla completezza dei dati costituisce un'esplicazione del diritto alla propria identità nei rapporti con l'esterno (su cui l'incompletezza potrebbe incidere negativamente), dall'altro è necessario comunque tenere in conto la necessità di rispettare il principio di pertinenza e non eccedenza dei dati di cui all'art. 3 d.lgs. n. 51/2018. Ne deriva che, nel caso di richieste che non abbiano attinenza alle finalità del trattamento, il titolare potrà rifiutarsi di darvi corso.

Posto che l'esattezza rappresenta un principio fondamentale del trattamento dei dati personali, il titolare dovrebbe provvedere alla rettifica anche indipendentemente da un'apposita richiesta dell'interessato, di propria iniziativa, ogni volta che abbia contezza dell'inesattezza. In tal caso, si sostiene che gravi sul titolare l'onere di notiziare l'interessato della rettifica, tenendo comunque in considerazione la rilevanza della modifica e dei dati trattati. Dall'altro lato, non si ritiene invece che gravi sull'interessato l'obbligo di notiziare il titolare dell'esigenza di rettificare i dati, ove l'interessato sia consapevole dell'inesattezza. La rettifica è configurata come una libera scelta dell'interessato, che includerebbe anche la libertà di fare uso di dati non accurati (Pelino, 257). Tali considerazioni, formulate per l'ambito di applicazione del Regolamento, a parere di chi scrive non appaiono facilmente replicabili per il diverso settore disciplinato dal d.lgs. n. 51/2018, dal momento che la “libertà di non accuratezza” rischierebbe di pregiudicare la finalità stessa del trattamento e contrasterebbe con l'attenzione del legislatore italiano al principio di esattezza dei dati (artt. 4 d.lgs. n. 51/2018, 12 comma 7 d.lgs. n. 51/2018, 12 comma 8 d.lgs. n. 51/2018).

Non è previsto alcun termine per la rettifica, ma, ai sensi dell'articolo 12 comma 1 d.lgs. n. 51/2018, il titolare deve provvedervi “senza ingiustificato ritardo”. Per analogia con il Regolamento si ritiene buona prassi provvedere alle rettifiche entro un mese dalla richiesta.

Nel caso di rettifica, ai sensi dell'art. 12 comma 7 il titolare deve comunicare le modifiche dei dati inesatti all'autorità competente da cui i dati provengono. Tale previsione, che rafforza ulteriormente l'attuazione del principio di esattezza, si pone in linea di continuità con gli obblighi di verifica della qualità dei dati di cui all'art. 4 d.lgs. n. 51/2018.

Cancellazione

Il titolare cancella i dati personali unicamente quando il trattamento è illegittimo in quanto: in contrasto con le disposizioni dell'art. 3 (quando viola i principi di correttezza e liceità; di limitazione delle finalità; di minimizzazione; di esattezza; di limitazione della conservazione; di integrità e riservatezza; o quando il trattamento è effettuato per una finalità diversa da quella per cui i dati sono raccolti, in assenza di una disposizione di legge); in contrasto con quanto previsto dall'art. 5 (quando il trattamento non rispetta i criteri di liceità consistenti nello svolgimento di un compito da parte di una autorità competente per le finalità di prevenzione dei reati o altra finalità di cui all'art. 1 comma 2 in base a disposizione del diritto dell'Unione europea o di legge o di regolamento o di atto amministrativo generale); in contrasto con l'art. 7 (che, per il trattamento delle categorie particolari di dati, richiede la previsione specifica di disposizioni di legge o di regolamento ovvero la necessità di salvaguardare un interesse vitale dell'interessato o di un'altra persona fisica o l'avere ad oggetto dati resi manifestamente pubblici dall'interessato).

Oltre all'ipotesi di illegittimità del trattamento, la cancellazione deve essere disposta “in ogni altro caso previsto dalla legge”. Rientra quindi in questa ipotesi il caso in cui la cancellazione sia richiesta da un obbligo di legge a cui è soggetto il titolare del trattamento (indicato dall'art. 16 della Direttiva 2016/680).

Con riferimento al corrispondente articolo della Direttiva, il WP art. 29 ha chiarito che “l'elenco dei trattamenti che richiedono la cancellazione dei dati ai sensi dell'art. 16, paragrafo 2, non dovrebbe essere considerato esaustivo; i legislatori nazionali e i titolari del trattamento dovrebbero tenere conto del principio del diritto quale descritto al considerando 47” (wp 258).

Non è invece considerata, né nel decreto, né nella Direttiva (UE) 2016/680, l'ipotesi di esaurimento delle finalità per cui i dati sono trattati (che pure era prevista già nella decisione quadro 2008/977/GAI all'art. 4, ed è contemplata nell'analogo diritto di cui all'art. 17 GDPR). Non c'è quindi un diritto dell'interessato a chiedere la cancellazione esaurita la finalità, e la ratio di tale esclusione è da rinvenirsi, a parere di chi scrive, nelle peculiari finalità dei trattamenti oggetto del decreto, il cui controllo non può essere rimesso all'interessato.

La cancellazione, per quanto indicata come diritto nella rubrica dell'art. 12 d.lgs. n. 51/2018 (“diritto di rettifica o cancellazione dei dati personali”) nel contenuto della norma si configura in realtà anche come un obbligo del titolare. Non è prevista la necessità di una richiesta da parte dell'interessato, e l'articolo si limita a imporre al titolare la cancellazione al verificarsi delle condizioni previste. Anche la terminologia utilizzata dal legislatore italiano (“il titolare del trattamento cancella...”) si discosta sotto questo profilo da quella della direttiva. Quest'ultima, all'art. 16, prevede che gli Stati membri impongano al titolare di cancellare i dati senza ingiustificato ritardo qualora il trattamento violi le disposizioni, ma anche che gli Stati membri, negli stessi casi, stabiliscano “il diritto dell'interessato di ottenere la cancellazione dei dati personali che lo riguardano”. Anche il Regolamento con riferimento alla cancellazione, fa riferimento a un “diritto” alla cancellazione che l'interessato vanta nei confronti del titolare del trattamento, e a cui corrisponde un “obbligo” del titolare di cancellare i dati, e la dottrina sull'art. 17 GDPR configura pacificamente la cancellazione con doppia natura di obbligo e di diritto (Pelino, 259).

A maggior ragione in questo contesto, dunque, dovrà ritenersi che la cancellazione costituisca sia un diritto attivabile con specifica richiesta dell'interessato (evidentemente, ove lo stesso sia consapevole della sussistenza dei presupposti per la cancellazione), sia un obbligo del titolare da esercitarsi motu proprio, al verificarsi dei presupposti.

Nel caso di istanza da parte dell'interessato, non sono richieste formalità particolari per l'esercizio del diritto.

Ulteriore differenza rispetto all'analogo art. 17 GDPR, che al comma 3 prevede una serie di deroghe, è rappresentata dal fatto che la norma in esame non contempla alcuna eccezione. Al verificarsi dei presupposti il titolare dovrà provvedere alla cancellazione e non sono previste esenzioni, neanche se connesse all'esercizio della libertà di espressione o di informazione.

Il comma 2 fa comunque salvo quanto disposto dall'art. 14 comma 1 (che prevede che i diritti relativi ai dati contenuti in decisioni giudiziarie, in atti o documenti di indagini, nel casellario giudiziale o in fascicoli del procedimento penale siano esercitati conformemente a quanto stabilito nelle disposizioni che regolano tali atti e procedimenti) e al comma 2 (che prevede le ipotesi in cui alcuni diritti possono essere ritardati, esclusi o limitati, e si riferisce a sua volta all'art. 12, comma 5, sull'obbligo di comunicare i motivi dell'eventuale rifiuto).

Non è previsto alcun termine per la cancellazione ma, ai sensi dell'art. 12, comma 2, il titolare deve provvedervi “senza ingiustificato ritardo”. Per analogia con il Regolamento si ritiene buona prassi provvedere alla cancellazione entro un mese dalla richiesta

Quanto alle modalità concrete per la cancellazione, i dati dovranno essere eliminati o anonimizzati in modo che non sia più possibile l'identificazione dell'interessato. Non è sufficiente, invece, in quanto procedimento “reversibile”, la pseudonimizzazione dei dati, ovvero il trattamento dei dati in modo che gli stessi non possano essere attribuiti ad un interessato specifico senza l'utilizzo di informazioni aggiuntive, conservate separatamente e soggette a misure tecniche e organizzative che non consentono l'attribuzione dei dati ad una persona identificata (Meo, 182).

L'articolo in commento non prevede, a differenza dell'art. 17 GDPR, l'obbligo di cancellare anche eventuali copie e collegamenti informatici nei casi in cui i dati siano stati resi pubblici.

A parere di chi scrive non è possibile applicare tale disposizione in via analogica all'istituto in commento, anche in considerazione della mancata previsione della stessa nella direttiva (UE) 2016/680 e del suo carattere oneroso per il titolare. Tuttavia, l'attività potrebbe rappresentare una buona prassi ed una modalità concreta di realizzazione della cancellazione.

Limitazione

La limitazione è diritto che ha antecedenti nella legislazione previgente in materia di protezione dei dati personali, in quanto era disciplinata già negli artt. 4 e 18 della decisione quadro 2008/977/GAI (ove era indicata come “blocco”) nonché nell'art. 12 della Direttiva 95/46/CE. Attualmente, la limitazione è normata dall'articolo in commento per il settore della cooperazione giudiziaria e in materia penale, e dall'art. 18 GDPR per i trattamenti rientranti nell'ambito di applicazione dello stesso.

Nell'ambito del Regolamento, ai sensi dell'art. 18 la limitazione deve essere oggetto di una specifica richiesta dell'interessato, unitamente all'allegazione di una delle ipotesi che obbligano il titolare alla limitazione. In dottrina si discute se l'interessato possa limitarsi ad allegare le circostanze o debba fornirne una prova (Torino, 192).

Nell'art. 12 d.lgs. n. 51/2018, invece, non è previsto che l'interessato debba chiedere la limitazione al verificarsi si circostanze precise, ma la stessa deve essere disposta “d'ufficio” dal titolare in due casi:

– impossibilità di verificare l'esattezza dei dati, allorché vi sia stata una contestazione dell'interessato;

– necessità di conservare i dati per fini probatori.

Il testo della norma prevede che la stessa debba essere disposta “in luogo della cancellazione”, configurandola come una misura da attuarsi in subordine a quest'ultima. Non sembra essere stato colto dal legislatore nazionale, quindi, l'invito sotteso alla Direttiva di enucleare specifiche ipotesi di limitazione distinte dalla cancellazione. In tal senso si era espresso anche il WP art. 29: “Il Gruppo sottolinea anche che, sebbene l'art. 16 della direttiva non preveda espressamente un diritto di limitazione di trattamento distinto dal diritto di cancellazione, come avviene all'articolo 18 del regolamento, i considerando 47 e 48 della direttiva lo menzionano separatamente. Il Gruppo di lavoro incoraggia pertanto gli Stati membri a prevedere la creazione di tale diritto per gli interessati nel loro ordinamento nazionale, sia come corollario al diritto di cancellazione sia come diritto separato per gli interessati che dovrebbero poter chiedere la limitazione del trattamento in casi diversi dalle due situazioni contemplate all'art. 16, paragrafo 3, 23 specialmente laddove il titolare del trattamento abbia negato la cancellazione senza limitare il trattamento” (wp 258).

La possibilità per l'interessato di presentare una richiesta in tal senso è comunque contemplata dal legislatore, visto che al comma 5 è disciplinata l'ipotesi del “rifiuto” della limitazione.

In considerazione di quanto illustrato, nel decreto la limitazione si configura in modo peculiare, in quanto non sembra costruita come un diritto esercitabile dall'interessato, ma piuttosto come una misura cautelare utilizzabile dall'autorità nelle due ipotesi contemplate (ovvero il caso in cui sia necessario accertare l'esattezza dei dati e quello in cui sia necessario conservare i dati a fini probatori). Appare infatti, in questo caso, ancora più marcata la connotazione cautelare che già viene riconosciuta latu senso dalla dottrina all'istituto della limitazione di cui al Regolamento, in quanto volta ad evitare un vulnus (Pelino, 229).

La limitazione, più che rappresentare un diritto dell'interessato, rappresenta quindi un intervento reattivo del titolare a seguito di una richiesta di rettifica (per cui è necessario verificare l'esattezza dei dati) o di cancellazione (per cui i dati non possono essere cancellati in quanto necessari a fini probatori).

A sostegno di tale interpretazione, parrebbe anche il titolo della rubrica che, da un lato, associa rettifica e cancellazione sotto la classificazione di “diritto” e, dall'altro, sembra riferirsi per la limitazione ad un diverso istituto, non associandovi la parola “diritto” (“diritto di rettifica o cancellazione di dati personali e limitazione del trattamento”). Anche in questo caso la formulazione letterale scelta dal legislatore italiano si discosta tanto dall'art. 18 GDPR (“l'interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi”) quanto dalla legislazione previgente, considerato che anche la decisione quadro 2008/977/GAI, dopo aver configurato un obbligo alla limitazione da parte del titolare (art. 4), prevedeva il corrispondente diritto dell'interessato all'adempimento degli obblighi da parte del titolare (art. 18). Non si ha discontinuità, invece, in questo caso, con la lettera della Direttiva (UE) 2016/680, che all'art. 16 fa riferimento solo al fatto che “anziché cancellare, il titolare del trattamento limita il trattamento” al verificarsi delle ipotesi indicate.

In conclusione, nell'ambito di applicazione del decreto la limitazione potrà essere “attivata” con due modalità: motu proprio da parte del titolare, indipendentemente dalla necessità di una espressa richiesta dell'interessato, ove se ne verifichino le condizioni; ovvero ove sia l'interessato a chiedere espressamente che venga disposta la limitazione, sempre ovviamente al verificarsi dei presupposti che la legittimano. Tale interpretazione, che prevede l'onere del titolare di disporre la limitazione anche di propria iniziativa, appare coerente con l'impostazione generale del decreto, permeato da una continua attenzione all'esattezza dei dati (vedi art. 4 d.lgs. n. 51/2018; art. 12, comma 7 e 8 d.lgs. n. 51/2018). In questo specifico settore, quindi, potrebbero essere superate le perplessità espresse dalla dottrina in merito alla limitazione di cui all'art. 18 GDPR ed alla liceità di interventi di limitazione decisi prudenzialmente dal titolare a propria tutela (Pelino, 230).

Quanto alle circostanze al verificarsi delle quali può essere disposta la limitazione, l'articolo in commento le restringe rispetto a quelle previste dall'art. 18 GDPR. Non è infatti considerata l'ipotesi di limitazione prevista dal Regolamento a vantaggio dell'interessato, ovvero quella in cui i dati debbano essere cancellati perché il trattamento è illecito, ma l'interessato si opponga alla loro cancellazione e chieda che siano limitati (art. 18, comma 1 lett. b, GDPR).

Analogamente, non è prevista l'ipotesi, sempre a vantaggio dell'interessato, in cui il trattamento non sia più necessario per il titolare, ma l'interessato chieda la limitazione in quanto ne ha bisogno al fine di accertare, esercitare o difendere un diritto in sede giudiziaria (art. 18, comma 1, lett. c) GDPR). Tale situazione non corrisponde infatti alla limitazione “a fini probatori” dell'art. 12 d.lgs. n. 51/2018, che rappresenta una facoltà prevista a vantaggio dell'autorità competente e non dell'interessato.

Anche tali considerazioni depongono a favore della configurazione della limitazione, in questo settore, come un onere per il titolare più che come un diritto per l'interessato.

Ancora, ulteriore aspetto di differenza rispetto al Regolamento, e che fa propendere per una lettura dell'istituto come strumento a vantaggio dell'autorità competente, è l'assenza di deroghe alla limitazione. Mentre l'art. 18, comma 2 GDPR prevede una serie di situazioni in cui, nonostante sia stata disposta la limitazione, i dati possono essere eccezionalmente trattati (ad esempio, nel caso in cui vi sia il consenso dell'interessato), nel decreto, invece, non è prevista alcuna deroga, né è attribuito all'interessato il “potere” di superare la limitazione attraverso il suo consenso.

Non è indicato un termine per la limitazione, né, a differenza della cancellazione e della rettifica, che la stessa debba avvenire “senza ingiustificato ritardo”. Tuttavia, trattandosi di diritto che si attua in subordine alla cancellazione, si ritiene che, come quest'ultima, anche la limitazione debba essere disposta senza ingiustificato ritardo. Per analogia, sarà quindi buona prassi dare corso all'eventuale richiesta entro un mese.

Quanto alle modalità concrete con cui attuare la limitazione, si evidenzia che la stessa rappresenta una sorta di “congelamento cautelare” dei dati, un blocco (come veniva indicata nella previgente disciplina), per cui i dati possono essere solo conservati o trattati per le finalità per cui si è disposta la limitazione (fini probatori o accertamento dell'esattezza).

Per quanto riguarda l'aspetto dell'attuazione, il considerando n. 47 della Direttiva (UE) 2016/680 indica le seguenti modalità: il trasferimento dei dati verso un altro sistema di trattamento, a fini di archiviazione; il rendere i dati inaccessibili; l'adozione di dispositivi tecnici che garantiscano la limitazione nei sistemi automatizzati; il contrassegno dei dati all'interno del sistema per rendere evidente che gli stessi sono oggetto di limitazione (e quindi per evitare che siano modificati e successivamente trattati).

I dati potrebbero essere fatti migrare su un sistema separato, intendendosi un disco o un supporto di memorizzazione destinato a questo scopo e scollegato dal flusso degli altri dati (Pelino, 232).

Da un punto di vista applicativo, quindi, il processo di limitazione avverrà in due fasi: dapprima, al momento della richiesta dell'interessato, il contrassegno dei dati e la loro “marcatura” per distinguerli dagli altri; e successivamente, non appena verificata la sussistenza dei requisiti previsti dalla legge, l'esclusione dal trattamento dei dati oggetto di limitazione (Torino, 193; Pelino, 231).

La durata della limitazione dovrebbe essere temporanea e ridotta all'arco temporale in cui sussistono i presupposti: dovrebbe quindi essere attuata solo per il tempo necessario ad accertare l'esattezza dei dati o a quello necessario per i fini probatori.

Nel caso in cui la limitazione sia stata disposta per l'impossibilità di accertare l'esattezza dei dati, se il titolare intende revocare la limitazione, prima di procedervi, deve avvertite l'interessato.

La cessazione della limitazione ripristina lo stato anteriore.

Obbligo di notificare la rettifica, cancellazione o limitazione ai destinatari

Ai sensi del comma 8 dell'art. 12 d.lgs. n. 51/2018, ove sia disposta una rettifica o una cancellazione o una limitazione, il titolare ne informa i destinatari affinché questi provvedano, sotto la loro responsabilità, alla rettifica o cancellazione o limitazione.

Trattasi di una norma analoga a quella dell'art. 19 GDPR. Oltre a prevedere una notifica ai terzi destinatari, l'articolo in commento esplicita altresì l'obbligo per gli stessi di disporre, sotto la propria responsabilità, la rettifica, cancellazione o limitazione. Ratio della norma, quindi, è la piena realizzazione dei suddetti diritti, anche ad opera dei destinatari.

Per destinatario, ai sensi dell'art. 2 d.lgs. n. 51/2018, non dovrà intendersi unicamente il destinatario terzo, ma “la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione dei dati personali”. Dovranno esservi quindi ricompresi anche eventuali titolari autonomi, contitolari e responsabili. Al fine di garantirne l'attuazione nella pratica, inoltre, sarà necessario, come buona prassi, registrare e tracciare ogni comunicazione esterna di dati personali.

Nel caso di limitazione, per simmetria, si ritiene che anche la cessazione della limitazione dovrebbe essere comunicata ai destinatari (Pelino, 232).

Come nel Regolamento, non è specificato con quale modalità debba effettuarsi questa comunicazione. Si ritiene pertanto replicabile anche la considerazione per cui il titolare avrà libertà di scelta in merito alla forma della comunicazione, fermo restando l'obbligo di garantire il risultato di portare a conoscenza del destinatario l'avvenuta rettifica, cancellazione o limitazione (Torino, 200). In tali casi, inoltre, i destinatari dovrebbero astenersi dal diffondere ulteriormente i dati (considerando n. 47 direttiva (UE) 2016/680).

La previsione del comma 8 dell'art. 12 d.lgs. n. 51/2018 si differenzia dall'art. 19 GDPR sotto altri profili. Innanzitutto, nel d.lgs. n. 51/2018 non è previsto l'obbligo per il titolare di comunicare quali sono i destinatari all'interessato, se richiesto. Tale norma non è automaticamente estensibile al decreto, ma potrebbe comunque costituire una buona prassi.

In secondo luogo, non è prevista l'esenzione dalla comunicazione nel caso di impossibilità o di sforzo sproporzionato (deroga che si applica, ad esempio, qualora la comunicazione comporti costi eccessivi): ne deriva che, nell'ambito di applicazione del decreto, la comunicazione ai destinatari sarà sempre dovuta.

Rifiuti della rettifica, cancellazione, limitazione

La direttiva (UE) 2016/680, attuata con il d.lgs. n. 51/2018, non prevede, come per l'art. 15 sul diritto di accesso, una norma specifica che disciplini le ipotesi di rifiuto o limitazione della rettifica, cancellazione, limitazione. Tuttavia, all'art. 16, comma 4 Direttiva (UE) 2016/680 è previsto che gli Stati membri dispongano che il titolare comunichi all'interessato per iscritto ogni ipotesi di rifiuto di cancellazione, rettifica o limitazione, indicandone i motivi, e che possano adottare misure legislative volte a limitare, in tutto o in parte, l'obbligo di fornire tali informazioni se la misura è proporzionata e necessaria al fine di garantire le seguenti finalità: non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari; non compromettere le prevenzione, l'indagine l'accertamento e il perseguimento di reati l'esecuzione dei sanzioni penali; proteggere la sicurezza pubblica; proteggere la scurezza nazionale; proteggere i diritti e le libertà altrui.

Il legislatore italiano ha disciplinato la materia in primo luogo attraverso l'art. 12 comma 5, che prevede un obbligo di informazione suppletiva per cui, nel caso di rifiuto, il titolare deve rendere noti agli interessati i motivi dello stesso. Il titolare dovrà quindi indicare se non sussistono i presupposti per procedere con la rettifica (ad esempio perché i dati sono già esatti) o con la cancellazione (ad esempio perché il trattamento è lecito) oppure se, in base all'art. 9, comma 4 d.lgs. n. 51/2018, le richieste dell'interessato appaiono manifestamente infondate o eccessive.

La comunicazione deve essere fatta per iscritto (anche per via elettronica).

In secondo luogo, viene in considerazione l'art. 14 d.lgs. n. 51/2018, ai sensi del quale alcuni diritti dell'interessato possono essere limitati con disposizione di legge o di regolamento, se necessario e proporzionato al fine di tutelare una serie di interessi: la sicurezza pubblica o nazionale, i diritti e le libertà altrui, la necessità di non compromettere il buon esito dell'attività di prevenzione, indagine, accertamento e perseguimento dei reati, o l'esecuzione di sanzioni penali, nonché l'applicazione delle misure di prevenzione personali e patrimoniali e delle misure di sicurezza.

Si badi bene, però, che l'articolo 14 e le limitazioni ivi previste non si applicano all'art. 12 d.lgs. 51/2018in toto. Infatti, mentre per l'accesso vengono richiamati sia il comma 1 (sull'oggetto dell'accesso) sia il comma 2 dell'art. 11 d.lgs. 51/2018 (sull'obbligo informativo suppletivo in caso di rifiuto), nel caso della rettifica, cancellazione e limitazione l'art. 14, comma 2 richiama solo il comma 5 dell'art. 12 (relativo all'obbligo informativo suppletivo in caso di rifiuto).

Ne deriva che i casi indicati dall'art. 14 d.lgs. n. 51/2018 (norma di legge o di regolamento che mira a garantire le finalità di sicurezza nazionale, sicurezza pubblica) legittimerebbero il ritardo, la limitazione, l'esclusione della comunicazione all'interessato dei motivi del rifiuto, e quindi del diritto informativo dell'interessato, ma non della rettifica, cancellazione e limitazione di per sé.

Si evidenzia che, mentre l'art. 11 d.lgs. n. 51/2018, per il diritto di accesso, prevede il diritto dell'interessato ad avere comunicazione di eventuali “rifiuti” o “limitazioni” del diritto, l'art. 12, comma 5, conformemente all'art. 16 della Direttiva (UE) 2016/680, fa riferimento solo al diritto di ottenere comunicazione dei “rifiuti” e non considera invece le limitazioni. È dubbio, quindi, se in questo caso sia possibile una semplice limitazione del diritto (come si potrebbe realizzare, ad esempio, con una cancellazione parziale).

La norma si differenzia da quella sul diritto di accesso anche per quanto riguarda il termine (in questo caso, non è previsto che il rifiuto debba essere comunicato senza ingiustificato ritardo) e sotto il diverso profilo probatorio: ai sensi dell'articolo in commento, il titolare non è tenuto a documentare i motivi che hanno determinato il rifiuto e a tenerli a disposizione dell'autorità (anche se tale obbligo può ritenersi implicito nell'ordinamento).

Nei casi in cui il diritto dell'interessato di ricevere le informazioni sui motivi del rifiuto sia limitato o escluso o ritardato ai sensi dell'art. 14 d.lgs. n. 51/2018, a livello applicativo, potrebbero sorgere dei dubbi se il titolare debba solo omettere l'indicazione dei motivi per cui si rifiuta la rettifica, cancellazione o imitazione, pur riscontrando l'interessato e comunicandogli il rifiuto, oppure se debba omettere di riscontrare l'interessato. Sarà necessario attenersi a quanto indicato nel diritto presupposto, ovvero nella disposizione di legge o di regolamento che dispone la limitazione e che potrebbe semplicemente “ritardare” il diritto (e quindi richiedere un posticipo del riscontro al venir meno delle finalità di indagine o le altre finalità perseguite), ”limitarlo” (e quindi, ad esempio, impedire unicamente di comunicare i motivi del rifiuto, ma consentire il riscontro) oppure “escluderlo” completamente (e quindi, richiedere l'omissione del riscontro nelle ipotesi in cui la semplice comunicazione potrebbe compromettere le finalità di indagine o le altre finalità perseguite). Si ritiene che, nei casi disciplinati dall'art. 12 d.lgs. n. 51/2018, si realizzi una deroga al principio di cui all'art. 9, comma 3 d.lgs. 51/2018, per cui il titolare deve comunque informare l'interessato dell'esito della sua richiesta.