L’EDPB adotta la versione definitiva delle Linee guida sulle restrizioni ai diritti degli interessati[1].
Come noto, l’art. 23 del GDPR prevede espressamente che, a determinate condizioni e a fronte di specifici interessi generali, il legislatore europeo o nazionale possa limitare la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5 del GDPR.
Le Linee guida esaminano le varie ipotesi – da intendersi come tassative – previste dall’art. 23 ed enucleano le condizioni che devono essere inderogabilmente rispettate affinché la restrizione possa dirsi legittima. Secondo l’EDPB, la restrizione deve:
- a) essere prevista dal diritto dell’Unione europea o degli Stati membri, che deve indicare in maniera sufficientemente chiara le circostanze e le condizioni alle quali i titolari del trattamento possono ricorrere a tali restrizioni;
- b) rispettare l’essenza del diritto oggetto di tale restrizione;
- c) corrispondere ad una misura necessaria e proporzionata in una società democratica per salvaguardare importanti obiettivi di interesse pubblico generale, tra cui ad esempio la sanità pubblica.
Proprio con riferimento al periodo emergenziale dovuto alla diffusione del virus COVID-19, l’EDPB ha esaminato[2] la possibilità di limitare i diritti degli interessati nel contesto pandemico, prendendo spunto da una legge ungherese sulle deroghe a talune disposizioni in materia di protezione dei dati personali e di accesso alle informazioni durante lo stato di pericolo[3].
In particolare, secondo il Board la mera esistenza di una pandemia o di un’altra situazione di emergenza non costituisce di per sé una ragione sufficiente per prevedere restrizioni ai diritti degli interessati. A tal fine occorre che sussista un legame tra le restrizioni e l’obiettivo perseguito, di guisa che eventuali restrizioni contribuiscano alla salvaguardia dell’obiettivo d’interesse pubblico generale dell’Unione o di uno Stato membro.
Inoltre, affinché la restrizione sia legittima, l’EDPB avverte che la medesima non deve essere irreversibile né può avere natura generale o una portata talmente ampia da interferire con un diritto al punto di svuotarlo del suo contenuto basilare. La restrizione deve dunque essere limitata, oltre che nella portata (individuando specifici diritti dell’interessato o le categorie interessate di titolari del trattamento), anche nel tempo. Tale limitazione della durata consente infatti di rispettare un criterio di prevedibilità, che altrimenti non sarebbe osservato qualora le misure fossero retroattive o soggette a condizioni non definite.
Per questo motivo una sospensione generalizzata dei diritti degli interessati o il loro differimento incondizionato sono ritenuti illegittimi e incompatibili con l’essenza dei diritti e delle libertà fondamentali.
Da sottolineare infine che, secondo l’EDPB, eventuali restrizioni ai diritti degli interessati non esonerano i titolari e i responsabili del trattamento dall’osservanza delle norme in materia di protezione dei dati personali che devono continuare ad applicare compatibilmente al principio di accountability.
[1] Il testo delle Guidelines 10/2020 on restrictions under Article 23 GDPR è consultabile al seguente link: https://edpb.europa.eu/system/files/2021-10/edpb_guidelines202010_on_art23_adopted_after_consultation_en.pdf
[2] Si tratta della Dichiarazione sulle restrizioni dei diritti degli interessati in relazione allo stato di emergenza negli Stati membri, adottata il 2 giugno 2020 e consultabile al link https://edpb.europa.eu/sites/default/files/files/file1/edpb_statement_art_23gdpr_20200602_it_2.pdf.
[3] Il riferimento è al Decreto del governo ungherese n. 179/2020 (V. 4.) Korm. rendelet a veszélyhelyzet idején az egyes adatvédelmi és adatigénylési rendelkezésektől való eltérésről, disponibile al link https://net.jogtar.hu/jogszabaly?docid=A2000179.KOR×hift=20200519&txtreferer=00000001.txt.