Regolamento - 27/04/2016 - n. 679 art. 23 - Limitazioni

Deroghe al principio di limitazione delle finalità

Ai sensi dell'art. 5.1.b) GDPR, un ulteriore trattamento dei dati per finalità di archiviazione nel pubblico interesse o per finalità statistiche o di ricerca scientifica o storica non è considerato incompatibile con le finalità iniziali. Inoltre, qualora il trattamento sia basato sul diritto dell'Unione o degli Stati membri e costituisca una misura necessaria e proporzionata in una società democratica per salvaguardare, in particolare, importanti obiettivi di interesse pubblico generale, il titolare del trattamento dovrebbe poter sottoporre i dati personali a ulteriore trattamento a prescindere dalla compatibilità delle finalità. In ogni caso, dovrebbe essere garantita l'applicazione dei restanti principi stabiliti dal Regolamento, in particolare l'obbligo di informare l'interessato di tali altre finalità e dei suoi diritti, compreso il diritto di opporsi; in tutti quei casi elencati all'art. 23, come la sicurezza pubblica o nazionale, la prevenzione o il perseguimento dei reati ecc. anche qualora le «finalità ulteriori» risultassero incompatibili, sarebbe comunque possibile effettuare il trattamento per la salvaguardia di siffatti interessi.

Deroghe al principio di limitazione della conservazione

Seguendo le limitazioni introdotte dall'art. 23 ai principi di cui all'art. 5, la durata della conservazione dei dati può essere estesa anche oltre il raggiungimento delle finalità del trattamento qualora vi sia una norma nazionale (o europea) che tuteli uno degli interessi enunciati dall'art. 23 e sempre a condizione che si osservino le garanzie di cui al par. 2 del medesimo articolo. In questo caso, infatti, gli Stati membri e l'Unione possono adottare norme specifiche in cui si preveda un'estensione del periodo di conservazione dei dati personali al fine di preservare gli interessi di cui sopra ed occorre comunque tenere presente il nucleo incomprimibile dei diritti dell'interessato (Bolognini, Pelino, Bistolfi).

Altre limitazioni

Sempre in ossequio all'art. 23 del Regolamento, e alle medesime condizioni a cui ci si è riferiti in materia di principi generali, potrà essere limitata in tutto o in parte anche la portata degli obblighi e dei diritti previsti dal Regolamento stesso. Ciò significa che il diritto interno nazionale o quello della UE potranno stabilire misure necessarie e proporzionate in una società democratica per salvaguardare diversi importanti interessi pubblici, negli stessi ambiti elencati sopra, che limitino o perfino neutralizzino l'applicazione delle norme in materia di trasparenza, fornitura di informazioni agli interessati, comunicazione di violazioni di dati agli interessati, esercizi dei diritti – dell'interessato – di accesso, di rettifica, di cancellazione, di opposizione, di portabilità e di opposizione a decisioni solo automatizzate.

Vale solo la pena di menzionare, come esempio, che la dir. 2016/680(UE) ha previsto regole specifiche, anche di portata limitativa dell'applicazione delle norme generali contenute nel Regolamento, in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, nel rispetto della natura specifica di tali attività. Come noto, tale direttiva è stata recepita in Italia con il d.lgs. n. 51/2018. Qualora le autorità competenti – es. autorità giudiziaria o forze di polizia – trattino dati personali per finalità diverse da quelle previste nella dir. 2016/680(UE) e nel d.lgs. n. 51/2018 (di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali) si applica invece il Regolamento (UE) 2016/679 nella sua pienezza, senza limitazioni.

Le Linee guida EDPB 10/2020 sulle limitazioni a norma dell'art. 23 GDPR

Il 13 ottobre 2021 il Comitato Europeo per la Protezione dei Dati ha adottato la versione 2.1 delle Linee guida in oggetto. Esse intendono fornire orientamenti proprio in merito all'applicazione dell'art. 23 GDPR. Le linee guida contengono un'analisi approfondita dei criteri per applicare le limitazioni, delle valutazioni che devono essere osservate, del modo in cui gli interessati possono esercitare i propri diritti dopo la revoca delle limitazioni, e delle conseguenze delle violazioni dell'art. 23 GDPR. Nel documento dell'EDPB, si chiarisce che l'art. 23 GDPR dovrebbe essere letto e interpretato tenendo conto che la protezione dei dati personali è un diritto fondamentale e inviolabile, come tale non annullabile nel nome di altri interessi per quanto rilevanti, ma solo parzialmente limitabile. Le limitazioni dovrebbero dunque essere considerate eccezioni alla norma generale che consente l'esercizio dei diritti e l'imposizione degli obblighi contenuti nel GDPR. In quanto tali, specifica l'EDPB, le limitazioni dovrebbero essere interpretate in modo restrittivo, e applicate esclusivamente in circostanze specifiche e solo se sono soddisfatte determinate condizioni. Anche in situazioni eccezionali, infatti, la protezione dei dati personali non può essere limitata nella sua interezza, ma deve essere mantenuta in tutte le misure di emergenza, di cui all'art. 23 GDPR, contribuendo così al rispetto dei valori generali di democrazia e Stato di diritto, nonché dei diritti fondamentali sui quali si fonda l'Unione: qualsiasi misura adottata dagli Stati membri rispetta i principi generali del diritto, l'essenza dei diritti e delle libertà fondamentali e non è irreversibile, e i titolari e i responsabili del trattamento dei dati continuano a rispettare le norme in materia di protezione dei dati. Inoltre, quando stabilisce limitazioni basate sull'art. 23 GDPR, il legislatore dell'UE o nazionale deve garantire che esse rispettino i requisiti di cui all'art. 52, paragrafo 1, della Carta, e in particolare effettua una valutazione della proporzionalità, affinché le limitazioni non superino quanto strettamente necessario. Nelle linee guida si sottolinea che, con il termine “limitazioni”, si intende qualsiasi limitazione della portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34 GDPR, nonché alle corrispondenti disposizioni dell'art. 5, a norma dell'art. 23 GDPR. La limitazione di un diritto individuale deve salvaguardare importanti obiettivi, come ad esempio la protezione dei diritti e delle libertà altrui, o importanti obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro, elencati nell'art. 23, paragrafo 1, GDPR. Secondo l'EDPB è quindi possibile imporre limitazioni ai diritti degli interessati solo quando sono in gioco gli interessi elencati e le limitazioni sono mirate a salvaguardare tali interessi, e i motivi della limitazione devono essere chiari. Per essere lecite, le limitazioni devono essere previste in una misura legislativa, riguardare un numero limitato di diritti degli interessati e/o di obblighi dei titolari del trattamento di cui all'art. 23 GDPR 6, rispettare l'essenza dei diritti e delle libertà fondamentali in questione, costituire una misura necessaria e proporzionata in una società democratica e salvaguardare uno degli obiettivi di cui all'art. 23, paragrafo 1, GDPR, come descritto in appresso. La limitazione della portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e all'art. 34 può assumere forme diverse, ma senza mai arrivare al punto di una sospensione generale di tutti i diritti. Le misure legislative che stabiliscono limitazioni a norma dell'art. 23 GDPR possono anche prevedere che l'esercizio di un diritto sia differito, che un diritto sia esercitato in misura parziale o circoscritto a determinate categorie di dati, o che un diritto possa essere esercitato indirettamente tramite un'autorità di controllo indipendente.