Con un testo decisamente articolato e dettagliato, l’articolo 23 del GDPR indica le linee guida per la limitazione dei diritti dell’interessato nonché i fondamentali principi di cui all’art. 5. Ovviamente, dette limitazioni devono rispettare l’essenza delle libertà fondamentali eed essere proporzionate alla persecuzione dei fini di difesa, sicurezza nazionale, pubblica sicurezza ovvero per le altre ragioni indicate nella norma. In ogni caso le norme che prevedano limitazioni devono contenere indicazioni specifiche e, si comprende, anche dettagliate oltre a garanzie per prevenire abusi, trasferimenti o accessi illeciti ai dati.

Con un provvedimento dello scorso 15 Dicembre, l’European Data Protection Board (EDPB), è intervenuto per precisare il senso da dare al termine “limitazione”, dimostrando sensibilità verso l’argomento e volendo anche, si ritiene, sottolinearne la delicatezza.

In primo luogo l’EDPB ha ribadito come per “limitazione” debba intendersi “qualsiasi limitazione dell’ambito di applicazione degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34 GDPR, nonché delle corrispondenti disposizioni dell’articolo 5 ai sensi dell’articolo 23 GDPR”.  Ogni qualvolta ciò avvenga, i motivi della limitazione dei diritti devono essere ben chiari e portati a conoscenza dell’interessato; ciò si sostanzia nella necessità che queste misure, per essere lecite, devono essere contenute in un provvedimento di natura legislativa, non generico e che indichi esaustivamente i diritti oggetto di limitazione e le modalità della stessa, oltre che le ragioni. Ulteriore considerazione, che muove dal Considerando 73 del GDPR: ognuna di dette possibili limitazioni non può confliggere con la Carta dei Diritti Fondamentali dell’Unione Europea.

Nello specifico il provvedimento dell’EDPB indica i requisiti di eventuali misure legislative: in tal senso non rivestirebbe caratteri di legittimità una forma di limitazione estensiva o intrusiva ovvero che vada a compromettere la ratio di un diritto o di una libertà che, quali valori fondamentali, devono comunque essere rispettati. Al contempo deve essere identificata con precisione ed esplicitata all’utenza, la base giuridica di ogni limitazione nonché l’obiettivo che viene perseguito.

Il provvedimento contiene altre indicazioni relative alla necessità che eventuali provvedimenti limitativi debbano contenere le finalità e le categorie di trattamento prese in considerazione e ovviamente, le categorie di dati personali oggetto di una limitazione specialmente laddove fossero coinvolti categorie di dati particolari e, oltre al resto, ultimo ma non ultimo, il diritto degli interessati di essere informati della limitazione a meno che ciò possa compromettere la finalità della stessa.

Ai sensi del principio di accountability il titolare del trattamento dovrebbe documentare tutti i casi in cui applica le limitazioni previste dal Legislatore, tenendone accuratamente traccia all’interno di un report che faccia menzione anche delle motivazioni per le quali si è ritenuto di dover fare applicazione di una specifica limitazione di un diritto o di un obbligo previsto dal GDPR. È, in ogni caso, fatta salva la facoltà che compete al titolare di richiedere in qualsiasi momento un parere motivato al Garante in merito alla corretta applicazione della limitazione.

E’ poi sempre e comunque dovere del titolare del trattamento quello di revocare le limitazioni poste in essere non appena le circostanze che le giustificano non siano più applicabili al caso concreto. Si tratta di una valutazione di merito che, laddove non impedita dal provvedimento legislativo che impone una restrizione, compete sempre e comunque a chi gestisce l’attività di raccolta, trattamento e protezione dei dati e che è ricompresa nella sua autonomia decisionale oltre che imprenditoriale.

Allo stesso modo è suo dovere quello di informare delle limitazioni e della loro rimozione al massimo quando le stesse vengono revocate. Appare opportuno ribadire, anche se all’apparenza pleonastico, che laddove il titolare del trattamento non consentisse agli interessati di esercitare i propri diritti dopo la revoca delle restrizioni, è sempre consentito proporre reclamo all’Autorità Garante.