Regolamento generale UE 2016/ 679: diritto di limitazione del trattamento

privacy e protezione dei dati personali

Il Regolamento europeo sulla protezione dei dati definisce limitazione di trattamento “il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro”.

Si tratta quindi di  misure che consistono nel “contrassegnare” i dati personali conservati dal titolare che, a fronte di una richiesta dell’interessato, si trovi a dover in qualche modo riconoscere e segregare quei dati che non potrà più trattare in futuro.

Il correlato diritto dell’interessato, “diritto di limitazione di trattamento”, è disciplinato dagli articoli 18 e 19 del Regolamento generale sulla protezione dei dati, mentre le misure da prendere sono descritte nel considerando 67.

Come si limita il trattamento?

Le modalità per limitare il trattamento dei dati personali sono individuate nel predetto considerando in maniera esemplificativa e non tassativa e consistono:

  1. nel trasferire temporaneamente i dati selezionati verso un altro sistema di trattamento,
  2. nel rendere i dati personali selezionati inaccessibili agli utenti o
  3. nel rimuovere temporaneamente i dati pubblicati da un sito web.

Nel medesimo considerando viene inoltre evidenziato che, negli archivi automatizzati, la limitazione del trattamento dei dati personali dovrebbe, in linea di massima, essere assicurata mediante dispositivi tecnici in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più essere modificati. Il sistema dovrebbe indicare chiaramente che il trattamento dei dati personali è stato limitato.

A voler trovare un parallelo, dal punto di vista dell’interessato, possiamo dire che le limitazione del trattamento si avvicina molto al blocco dei dati, presente nella nostra attuale normativa, dal quale tuttavia si discosta per l’obbligo imposto al titolare di provvedere al “contrassegno” dei dati il cui trattamento è stato limitato, volto a garantire che la restrizione operata su tali trattamenti sia rispettata anche in futuro.

Quando si può chiedere la limitazione del trattamento?

Il diritto di limitazione del trattamento può essere richiesto dall’interessato nei casi descritti dall’articolo 18 del Regolamento europeo, ovvero quando:

a) l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza degli stessi;
b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
d) l’interessato si è opposto a un trattamento (necessario per l’esecuzione di un compito di interesse pubblico o basato sul legittimo interesse del titolare, compresa la profilazione), in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

Quando il titolare proceda a limitare il trattamento, tali dati personali sono trattati solo per la conservazione, e ulteriori trattamenti saranno possibili soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.

Informazione e comunicazioni

Inoltre quando l’interessato ha ottenuto la limitazione del trattamento, nel caso in cui la limitazione venga revocata egli deve essere informato dal titolare del trattamento prima che la revoca abbia effetto.

Infine, nel caso in cui i dati personali oggetto di limitazione siano stati comunicati ad altri soggetti, è onere del titolare del trattamento (esattamente come avviene nel caso di diritto all’oblio o alla rettifica) darne comunicazione a ciascuno dei destinatari, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. In ogni caso, il titolare del trattamento è tenuto a comunicare tali destinatari all’interessato che ne faccia richiesta.

Oblio, rettifica e limitazione del trattamento

Si noti come il diritto alla limitazione dei dati possa incidere su fattispecie che afferendo a dati inesatti, possono poi sfociare nel diritto di rettifica.

Nella nostra tradizione il diritto di rettificazione dei dati personali (ossia il diritto che l’interessato può far valere in ordine a dati inesatti o non aggiornati) spesso è confluito nell’ambito del diritto all’oblio, soprattutto in caso di pubblicazione o diffusione dei dati nel web. Ora questi due diritti vengono scissi in fattispecie distinte a dai contorni meglio definiti ma sia l’oblio sia la rettifica presentano profili di sovrapposizione con la limitazione dei dati personali (si pensi all’interessato che abbia diritto alla cancellazione perchè il trattamento era illecito, ma opti per  la limitazione), dato che essa appare funzionale a tutelare l’interessato in casi afferenti ad entrambe le fattispecie. Con una significativa differenza, però: mentre il diritto all’oblio arretra innanzi all’esercizio del diritto alla libertà di espressione e d’informazione, che è espressamente contemplato  quale limite dalla norma che disciplina il diritto alla cancellazione, in caso di diritto di rettifica e di limitazione del trattamento questo limite non è richiamato.

Varranno i limiti di operatività della normativa in materia di protezione dei dati personali rispetto alla libertà di espressione e informazione delineati dall’articolo 85 del Regolamento che lasciano ampio margine di discrezionalità al legislatore interno al fine di individuare il punto di bilanciamento, ma è possibile che molte delle polemiche già sollevate in ordine al rapporto tra oblio e libertà di espressione siano destinate a replicarsi sul terreno della rettifica e della limitazione del trattamento.

E intanto?

Come sappiamo, c’è tempo fino al maggio del 2018 per adeguarsi al Regolamento generale sulla protezione dei dati. Sarà bene che i titolari rivedano le privacy policy interne (e le soluzioni tecnologiche adottate) per poter comprendere se siano in grado di garantire la limitazione dei trattamenti,  qualora venisse loro richiesta, ed è bene che comincino a tener traccia dei destinatari ai quali vengono trasmessi i dati (se non lo fanno già), in modo da poter provvedere tempestivamente anche alle comunicazioni a terzi che la nuova normativa impone.

di Avv. Cristina Vicarelli – www.cristina-vicarelli.it

 

Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.