Lo European Data Protection Board (EDPB) ha pubblicato la versione finale delle Linee Guida 10/2020 sulla limitazione dei diritti privacy degli interessati ai sensi dell’Articolo 23 GDPR.
Il documento affronta il delicato tema delle restrizioni dei diritti degli interessati previsti dagli Articoli 12-22 del GDPR, tra cui figurano il diritto di accesso e rettifica dei dati nonché il diritto all’oblio.
L’Articolo 23 GDPR consente al diritto europeo o dello Stato membro cui è soggetto il titolare o il responsabile del trattamento di “limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli 12 a 22 qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali” nella misura in cui tale restrizione sia necessaria e proporzionata in una società democratica per salvaguardare una serie di interessi ritenuti dal legislatore particolarmente rilevanti. Tale principio segue la “stella polare” dell’Articolo 52 della Carta di Nizza, che impone l’uso della legge (di rango europeo o nazionale) quale unico strumento idoneo a determinare potenziali compressioni dei diritti fondamentali dei cittadini europei, in ossequio ai principi di necessità e proporzionalità.
Le Linee Guida stabiliscono che le misure legislative preordinate a sancire limitazioni ai diritti privacy degli interessati devono soddisfare il requisito di prevedibilità. L’EDPB analizza, poi, le motivazioni che possono sottostare ad una previsione legislativa idonea a comprimere i diritti degli interessati. Una misura normativa limitativa dei diritti privacy dovrebbe in ogni caso esplicitare il problema di riferimento, il modo in cui la previsione in esame intende affrontarlo e il motivo per cui le misure esistenti e/o meno intrusive non garantiscono una soluzione sufficiente. Sono, in tal senso, riportate le valutazioni che devono essere osservate dal legislatore e le misure con cui gli interessati possono esercitare i loro diritti dopo la revoca delle restrizioni. Particolare attenzione, inoltre, è rivolta alle conseguenze delle violazioni dell’Articolo 23 GDPR.
Con riferimento a libertà, diritti e obblighi limitabili ai sensi dall’Articolo 23 GDPR, l’EDPB precisa che “solo gli articoli da 12 a 22, l’articolo 34 del GDPR e l’articolo 5 nella misura in cui le sue disposizioni corrispondono ai diritti e agli obblighi di cui agli articoli da 12 a 22 possono essere limitati”. Di conseguenza, gli ulteriori diritti e obblighi in materia di protezione dei dati personali (ad esempio, il diritto di presentare un reclamo all’autorità di controllo in ossequio all’art. 77 del GDPR) non possono essere compressi sotto l’egida dell’Articolo 23 del GDPR.
Il provvedimento dell’EDPB assume un’importanza cruciale in un contesto giuridico e sociale fortemente mutato negli ultimi mesi a causa della pandemia da Covid-19 che ha fatto ripetutamente invocare l’introduzione di eccezioni ai diritti privacy. Il complesso rapporto tra privacy e gestione dell’emergenza da Covid-19, infatti, solleva argomenti circa l’opportunità di comprimere i diritti di cui agli Articoli 12-22 del GDPR al fine di garantire il bilanciamento di interessi ritenuti essenziali per il tessuto economico e sociale nazionale ed europeo (si pensi alla continuità operativa di interi settori industriali). Nel complesso quadro normativo l’EDPB indica la strada maestra: sarà sufficiente a garantire un lieto esito a questo inedito impasse?
Su un simile argomento può essere interessante l’articolo “Green Pass e Privacy: il “Sì” del Garante ai controlli sull’identità da parte dei gestori di bar e ristoranti”.
Autore: DLA Piper
