“La mera esistenza di una pandemia non costituisce di per sé ragione sufficiente per disporre qualsivoglia genere di limitazione dei diritti degli interessati; piuttosto, ogni limitazione deve contribuire in modo chiaro alla salvaguardia di un obiettivo importante di interesse pubblico generale dell’Unione o di uno Stato membro” (EDPB, Linee guida sulle limitazioni, § 19, traduzione dell’autore).
Non solo le persone, ma anche i diritti – lo sappiamo bene – possono cadere vittima di situazioni emergenziali. L’art. 23 GDPR ci trasporta su un terreno estremo e insieme definente, quello cioè della sopravvivenza della tutela dell’interessato alla pressione di contesti gravi e imprevedibili o alla tensione generata dall’interazione con altre aree di tutela particolarmente presidiate (difesa, ragioni di giustizia, ecc.). È dunque una norma che misura la resilienza del nucleo ineliminabile delle tutele del GDPR in ambienti per così dire “lunari”.
Il potere di controllo dell’interessato non può essere svuotato: “This means that restrictions that are extensive and intrusive to the extent that they void a fundamental right of its basic content, cannot be justified” (§ 14).
Già questo addensa interesse non banale sulle linee guida, nonostante nell’occasione specifica si tratti, possiamo dirlo, di un documento tutto sommato “magro”, che si ferma a poco più di una fotografia della disciplina già chiaramente disegnata dal regolamento europeo.
Il profilo più innovativo va ravvisato probabilmente nel coordinamento con l’art. 52 Carta dei diritti fondamentali UE e soprattutto con il formante giurisprudenziale delle Corti europee, oggetto nelle linee guida di una tessitura sottile con l’art. 23 GDPR, che in concreto agevola molto il lavoro di aggiornamento e ricostruzione degli interpreti.
L’aspetto senz’altro più utile, in chiave nazionale, sono poi le ricadute applicative sulla normativa italiana. Trovare in un contesto così autorevole passaggi di immediata o facile applicazione al diritto interno favorisce infatti un netto riorientamento in chiave eurounitaria.
Indice degli argomenti
L’art. 77 GDPR non è soggetto a limitazioni
Veniamo perciò al cuore del problema: gli articoli 2-undecies e 2-duodecies cod. priv. contengono previsioni in contrasto con il GDPR? Per molti ciò appariva da tempo prospettabile a una piana lettura normativa eurounitaria, le linee guida in commento permettono di convertire la domanda in asserzione.
Prendiamo il primo comma dell’art. 2-undecies cod. priv.: “i diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell’art. 77 del Regolamento qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto…”. La disposizione introduce un’esclusione radicale, sia pure in determinate circostanze di pregiudizio effettivo e concreto e, ovviamente, in determinati settori giuridici.
Ora, il § 37 delle linee guida indica l’esatto contrario, ossia che l’art. 77 non può in alcun modo essere limitato, e ciò per la buona ragione che il novero delle disposizioni limitabili è tassativo, e non vi figura l’art. 77: “This means that any other data subjects’ rights – such as the right to lodge a complaint to the supervisory authority (Article 77 GDPR) – or other controllers’ obligations cannot be restricted”. Insomma, in ambito nazionale ci siamo molto espansi, a scapito dell’interessato beninteso.
Per vero, l’onda d’urto di questa considerazione non sembra fermarsi qui e coinvolge, per logica conseguenza, anche lo speciale meccanismo di interposizione del Garante nell’esercizio dei diritti dell’interessato, previsto nell’undecies e nel duodecies attraverso un richiamo all’art. 160 cod. priv.
Lo strumento interpositivo, consentito in ben precisi ambiti (lett. d del secondo paragrafo dell’art. 23, cfr. § 54 Linee guida) non dovrebbe dunque essere inteso come un succedaneo della regolare tutela garantita e azionabile per mezzo dell’art. 77, che è connotata da precisi contenuti e scandita da definiti termini di durata, ma semmai quale innesto nella stessa oppure come uno strumento integrativo di tutela, cosa del resto segnalata dalla congiunzione “anche” presente nelle disposizioni nazionali citate (“possono essere esercitati anche”).
Le limitazioni raccontano il GDPR e lo difendono
L’articolo 23 GDPR è in verità una disposizione fondamentale non solo perché riguarda le limitazioni, e queste ultime raccontano, sotto una certa prospettiva, che cos’è il GDPR, esattamente come i bordi raccontano la forma; è fondamentale anche perché, potremmo dire con un gioco di parole, è una norma che limita le limitazioni. Questo è esattamente il punto.
Indica cioè quali sono gli istituti che possono essere limitati, le materie, le circostanze in cui ciò può avvenire e soprattutto le modalità, ponendo così un freno a liberi esperimenti nazionali di compressione, genericamente motivati dall’intersezione con altre aree del diritto o con situazioni di ordine pubblico, si pensi alle finalità di lotta al terrorismo, eterno jolly sempre pronto nel mazzo. È qui che le cose si fanno più interessanti, nel rovesciamento di prospettiva nella lettura dell’art. 23: non disposizione di uscita dal GDPR, ma di tutela della polpa dei diritti dai denti dei legislatori nazionali.
Prendiamo ancora una volta l’art. 2-undecies cod. priv., ora al comma terzo, e l’art. 2-duodecies al comma secondo, che permettono addirittura di escludere l’esercizio dei diritti limitabili: “L’esercizio dei medesimi diritti può, in ogni caso, essere ritardato, limitato o escluso…”. Confrontiamolo con il § 4 delle linee guida: “Even in exceptional situations, the protection of personal data cannot be restricted in its entirety”, considerazione che del resto non è che un’educata presa d’atto della formulazione dell’art. 23 GDPR. Siamo usciti anche qui dai bordi. Nell’interprete si fa strada l’impressione che gli equivoci del legislatore nazionale sulle limitazioni non siano realmente tali, quanto il riflesso di una concezione ottriata dei diritti: non te li ho riconosciuti, te li ho graziosamente concessi, dunque posso privartene.
L’assessment delle limitazioni
Sul piano operativo, la parte più significativa delle linee guida sta nel chiarimento dei termini secondo i quali deve essere svolto l’assessment delle limitazioni. Già, perché va fatto. Per comodità potremmo chiamarlo “RIA”, restriction impact assessment, ricalcando la moda degli acronimi in “ia”. No, l’EDPB non lo definisce esattamente così, ma la sostanza è quella, occorre cioè svolgere una valutazione di necessità e proporzionalità a cui le linee guida dedicano un’intera sezione, la 3.5 (applicabile sia al legislatore sia al titolare, nelle rispettive competenze). Si noti che, come per tutti i componenti della famiglia delle valutazioni del rischio, il titolare del trattamento è tenuto a documentare di averla svolta, perché, precisa il Comitato, l’art. 5, par. 2 GDPR non è oggetto di limitazione, dunque si applica anche in questo caso una piena accountability.
Abbiamo così tutti i pezzi utili a inquadrare l’adempimento. Il cuore dell’assessment è riempito dal combinato disposto dei requisiti elencati al primo paragrafo dell’art. 23 e dell’art. 52 Carta UE (come pure dell’art. 8 CEDU), alla luce degli arresti delle due Corti europee, CGUE e Corte EDU. Non è assolutamente sufficiente il mero richiamo per materia a una delle situazioni, tassative, elencate al primo paragrafo del 23, ma occorre definire – e farlo nei dettagli – quale sia, all’interno della materia, la finalità che effettivamente giustifica la limitazione, quindi applicare un test di stretta necessità (dunque non di necessità tout court). Un esempio mutuato dalle linee guida: nel contesto di un’indagine amministrativa non potrà essere negato l’accesso ai dati personali su materiale che non superi il test predetto, che cioè non sia indispensabile per le assai precise finalità perseguite.
L’impatto concreto di questo tipo di approccio molto strutturato, che impone tanto l’onere di una scrematura quanto la responsabilità del diniego, si prospetta denso di conseguenze nel nostro sistema, se vorremo svilupparle coerentemente. Facciamo l’esempio di una classica tecnica nazionale di evasione dalle maglie del GDPR, vale a dire il labile e generico richiamo a situazioni precontenziose che i titolari del trattamento più smaliziati usano opporre a legittime istanze di accesso degli interessati. È sorprendente il successo che registra il mero riferimento a tale espressione omnia, spesso autoreferenziale, nell’ottenere il completo svuotamento di uno dei pilastri della normativa eurounitaria.
Non si può dunque che auspicare un minuzioso controllo da parte del Garante, ove investito delle doglianze dell’interessato, sulla RIA e sulle modalità con cui è stata condotta.
Inoltre, occorre fornire all’interessato un orizzonte temporale massimo plausibile per l’esercizio dei suoi diritti in caso di limitazione. Se nel mondo della protezione dei dati personali quasi niente è sine die, in materia di limitazioni ciò è massimamente vero, venendo in considerazione compressioni di tutele fondamentali. Ovviamente, se si è realizzata una buona RIA si è anche in grado di fornire ragionevoli coordinate temporali.
La normativa nazionale
Abbiamo cominciato questa analisi partendo dagli artt. 2-undecies e duodecies cod. priv., concludiamola coerentemente. Le due norme citate sono invero di “rimbalzo”, come tali di dubbia utilità, nel senso che il loro contenuto centrale, anziché adeguare sul piano nazionale la disciplina eurounitaria dell’art. 23 GDPR, come era nelle attese, la rimanda piuttosto ad altre fonti. E sappiamo come vanno queste cose: si rinvia ad approdi inesistenti o al più incompatibili con la minuta disciplina imposta dal secondo paragrafo dell’art. 23 GDPR.
La fonte nazionale, chiarisce l’EDPB, deve definire specificamente quali diritti sono limitati, ad esempio indicare che la restrizione riguarda solo l’art. 18 GDPR. E inoltre deve precisare quali categorie di dati coinvolge, senza tenersi sul generico, in particolare se si tratta di informazioni a elevato livello di protezione come quelle dell’art. 9 GDPR. Deve altresì determinare il periodo massimo di conservazione. Orbene, sono davvero pochi gli ambiti di normativa speciale che soddisfino tutti i parametri (ne ho citato solo un campione) posti dal legislatore dell’Unione. Né – precisa il Comitato – la clausola “se del caso” (“where relevant”) presente al paragrafo 2 dell’art. 23 permette soluzioni disinvolte: ogni eventuale eccezione va debitamente giustificata, dal legislatore.
Conclusioni
In chiusura deve notarsi che la versione attualmente accessibile delle linee guida non è ancora aggiornata agli esiti della consultazione pubblica chiusasi il 10 febbraio 2021. Sappiamo comunque che di regola i testi consolidati dell’EDPB assai raramente deragliano dai binari iniziali, ragionevolmente perciò non assisteremo a spostamenti d’assetto significativi.
Si desidera evidenziare solo un ultimo punto, poiché oggetto di una vigorosa sottolineatura da parte del Comitato, vale a dire il richiamo al potere di vigilanza da parte delle autorità di controllo europee, oltre che della Commissione europea, anche rispetto alla normativa degli Stati membri. L’EDPB evidenzia inoltre il connesso obbligo delle autorità di controllo, ancorché soggetti non giurisdizionali, di disapplicare le disposizioni nazionali in contrasto con il regolamento. Questo spunto, che del resto trascende il tema delle limitazioni, contiene in sé sviluppi dirompenti. Vedremo se avrà precise cadute applicative.
