A due anni dall’entrata in vigore del Regolamento europeo per la protezione dei dati personali, si avverte la necessità di concentrare sempre di più l’attenzione non solo rispetto ai device su cui i dati personali circolano e vengono trasmessi, ma anche rispetto alle norme finalizzate alla loro protezione quando vengono trattati nonché quando sono semplicemente conservati.
Il Regolamento (UE) 2016/679 sancisce il principio di minimizzazione dei dati, in virtù del quale «i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5 par. 1 lett. c). Difatti, i dati personali devono e possono essere conservati solo se sono necessari a raggiungere le finalità del trattamento per cui sono stati raccolti. Di conseguenza, non sorgono dubbi di cancellazione per i dati necessari: finché vi è un effettivo bisogno per raggiungere le finalità del trattamento, è opportuno conservarli; laddove non siano usati, è possibile cancellarli senza conseguenze pregiudizievoli.
Il diritto di limitazione del trattamento
La difficoltà può essere ravvisata nella gestione dei dati che potrebbero essere necessari, ad esempio, per la tutela giudiziaria dei diritti, perché in tal caso non è possibile prevedere l’eventuale processo che potrebbe aprirsi e, quindi, la necessità di avvalersi di quei dati. Così il legislatore europeo consente all’interessato di esercitare il diritto alla cancellazione (il c.d. diritto all’oblio) di cui all’art. 17 e quello di limitazione del trattamento ex art. 18, che rappresenta l’oggetto di questo approfondimento.
Il diritto di limitazione del trattamento non costituisce una novità sul piano legislativo europeo, in quanto trova il suo “antenato” nel c.d. “congelamento dei dati”, anche definito “blocco”[1], disciplinato dall’art. 12 lett. b) della Direttiva 95/46/CE, attuato nell’ordinamento italiano con l’art. 7 comma 3 d.lgs. 196/2003, e nell’art. 15 del Regolamento CE 45/2001 sulla tutela delle persone fisiche con riferimento al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.
L’art.18 del Regolamento è stato introdotto nel Codice della privacy dal d.lgs.101/2018[2], aggiungendo nella Parte I (Disposizioni generali), Titolo I (Principi e disposizioni generali) il Capo III (Disposizioni in materia di diritti dell’interessato), composto dagli art. 2-undecies (Limitazione ai diritti dell’interessato), art. 2-duodecies (Limitazioni per ragioni di giustizia) ed infine art. 2-terdecies (Diritti riguardanti le persone decedute).
Dal punto di vista tecnico, la limitazione è definita dall’art. 4 par. 1 n. 3 come «il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro», cioè consiste nel marcare i dati oggetto della richiesta dell’interessato per distinguerli dagli altri dati personali, non oggetto di limitazione. Non appena il titolare del trattamento riceve la richiesta dell’interessato, deve apporre il contrassegno, con modalità che rendano evidente la marcatura, e, successivamente, escluderle dal trattamento. Con la limitazione non viene meno il contrassegno, ma lo si trasforma, al fine di rendere visibile l’esistenza della limitazione.
Modalità di esercizio del diritto di limitazione
Secondo l’art. 12 del Regolamento, il titolare del trattamento deve agevolare l’esercizio del diritto da parte dell’interessato e adottare misure appropriate che devono essere rese all’interessato «in forma coincisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente a minori».
L’interessato può esercitare il diritto in esame in presenza di una delle ipotesi disciplinate dall’art. 18 par.1.
Il primo caso si verifica quando l’interessato contesta l’esattezza dei dati personali. Egli chiede la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo (art. 16), pertanto la limitazione dura il periodo necessario al titolare del trattamento per verificare l’esattezza dei dati.
La seconda ipotesi avviene quando il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede che ne sia limitato l’utilizzo. Il titolare del trattamento può avvalersi di un periodo massimo di 15 giorni per decidere se i dati possano essere sottoposti a limitazione.
Il terzo caso si ha quando il titolare del trattamento non ha più bisogno dei dati personali ai fini del trattamento, ma essi sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. In tal caso l’interessato crede di poter essere leso dalla cancellazione dei dati per cui ne domanda la conservazione per accertare, esercitare o difendere un diritto in sede giudiziaria[3].
Dopo aver ricevuto la richiesta, il titolare del trattamento deve riscontrarla senza ingiustificato ritardo e al massimo entro un mese. Qualora le richieste siano numerose e complesse, tale termine può essere prorogato di ulteriori due mesi. La risposta, che deve essere chiara, concisa, facilmente accessibile e comprensibile, deve essere fornita di regola in forma scritta, anche tramite supporti elettronici, e può essere orale solo qualora l’interessato lo richieda espressamente.
Laddove i dati personali oggetto di limitazione siano stati comunicati ad altri soggetti, il titolare del trattamento è tenuto a comunicarlo a ognuno dei destinatari, a meno che «ciò si riveli impossibile o implichi uno sforzo sproporzionato» (art. 19).
Il titolare del trattamento può eseguire la limitazione, nel rispetto del principio della privacy by design, con le seguenti modalità descritte dal Considerando 67: in primo luogo, il trasferimento temporaneo dei dati selezionati verso un altro sistema di trattamento; in secondo luogo, il rendere i dati personali selezionati inaccessibili agli utenti; infine, la rimozione temporanea dei dati pubblicati da un sito web. Lo stesso Considerando 67 prevede anche la disciplina per gli archivi automatizzati: in essi la limitazione del trattamento dovrebbe essere eseguita «mediante dispositivi tecnici in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più essere modificati».
Il momento iniziale della limitazione del trattamento può essere identificato grazie a quanto disposto dalle “Linee Guida dei diritti degli individui con riferimento al trattamento dei dati personali”, adottate dal Garante Europeo della protezione dei dati relativamente all’art. 15 del Regolamento 45/2001, per cui la marcatura iniziale e la limitazione del trattamento devono coincidere.
Il diritto in esame è esclusivo, ossia può essere esercitato esclusivamente dall’interessato, che può chiedere al titolare del trattamento di svolgere temporaneamente solo le operazioni di conservazione dei dati personali, così da rendere i dati inutilizzabili e inaccessibili per tutto il periodo di limitazione.
La limitazione del trattamento rappresenta una misura dal carattere temporaneo, quindi deve essere esperita fino al momento in cui sussiste una delle ipotesi di cui al comma 1. Nonostante ciò, talvolta si sono verificati casi di “blocco definitivo”[4].
Le azioni esperite dal titolare per eseguire la limitazione del trattamento sono gratuite, in virtù di quanto previsto dall’art. 12 par. 5. Se però la richiesta dell’interessato fosse manifestamente infondata o eccessiva, l’interessato è tenuto al pagamento di un contributo spese ragionevole, previa dimostrazione del carattere manifestamente infondato o eccessivo in capo al titolare[5].
La violazione degli obblighi di cui all’art. 18 del Regolamento, compiuta dal titolare del trattamento, è punita con la sanzione amministrativo pecuniaria fino a venti milioni di euro ovvero, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente all’esercizio in cui è avvenuta la violazione, secondo l’art. 83 par. 5 lett. b).
Deroghe alla limitazione del trattamento
L’art. 18 par. 2 del Regolamento descrive le ipotesi in cui, benché sia stata disposta la limitazione del trattamento, i dati personali possono essere eccezionalmente trattati. Si tratta delle seguenti deroghe: innanzitutto, il consenso prestato dall’interessato; inoltre, l’esercizio o la difesa di un diritto in sede giudiziaria; infine, la tutela dei diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.
Ulteriori esenzioni sono previste dallo stesso Regolamento: in primo luogo, nel caso in cui la limitazione agli obblighi sia prevista dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare o il responsabile del trattamento (art. 23); in secondo luogo, quando si tratti di un potere spettante all’autorità di controllo (art. 58 par. 2 lett. f); da ultimo, qualora il trattamento dei dati avvenga per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica (art. 89 par. 2 e 3).
Giurisprudenza in materia di diritto alla limitazione del trattamento
La prima violazione del diritto alla limitazione del trattamento è avvenuta pochi giorni dopo l’entrata in vigore del Regolamento europeo, quando la compagnia telefonica Fastweb effettuava telefonate promozionali verso utenti che non avevano espresso il consenso o si erano opposti al trattamento dei dati per finalità di marketing[6].
In tempi più recenti, l’Autorità Garante per la protezione dei dati personali ha ravvisato una violazione del diritto di limitazione del trattamento in alcune condotte illecite poste in essere da Eni Gas Luce (EGL)[7], quali telefonate pubblicitarie effettuate senza il consenso della persona contattata o nonostante il proprio diniego a ricevere chiamate promozionali (il c.d. telemarketing indesiderato), oppure senza attivare le specifiche procedure di verifica del Registro pubblico delle opposizioni, l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati.
Conclusioni
Il diritto di limitazione del trattamento rappresenta un importante baluardo posto a difesa dell’interessato, in quanto consente allo stesso di poter limitare il trattamento dei dati e rendere possibile esclusivamente la loro conservazione.
L’emergenza sanitaria del coronavirus ha reso necessario lo svolgimento di un numero sempre maggiore di attività compiute online: oggi la vita digitale degli utenti avviene su piattaforme e-mail, social media e servizi di e-commerce, di proprietà del triumvirato Google-Facebook-Amazon. Per non dimenticare lo smart working, l’e-learning e infine l’utilizzo di piattaforme per la visione di canali digitali.
Tutti questi servizi richiedono che l’interessato presti il proprio consenso al trattamento dei dati personali, il quale talvolta non è a conoscenza dei trattamenti che saranno eseguiti né dei diritti che il Regolamento europeo prevede in sua tutela. Infatti, come afferma Edward Snowden nella sua autobiografia “Errore di sistema”, «la privacy dei nostri dati dipende da chi ne detiene il possesso. I nostri dati sono la nostra proprietà più privata, ma anche quella meno protetta. Il risultato è che i nostri dati non sono più davvero nostri: sono controllati dalle suddette società, che possono usarli per le più varie finalità»[8].
Dunque, appare necessaria un’informazione capillare finalizzata a poter portare a conoscenza di un numero quanto più ampio possibile di utenti l’esistenza di una normativa così ben articolata e dettagliata che il legislatore europeo ha voluto dedicare a un settore tanto importante come quello della privacy, per poter affermare una vera a propria cultura della privacy tra i cittadini europei.
Il progresso tecnologico e le misure tecniche e organizzative non sono efficaci se non accompagnate da una cybersecurity awareness e da una conoscenza delle norme contenute nell’ambito del Regolamento europeo a tutela dei dati personali dell’interessato.
- La limitazione del trattamento e il blocco dei dati sono diritti sostanzialmente simili, in grado di produrre gli stessi effetti sull’utilizzo dei dati personali. Tuttavia, nel caso della limitazione, il titolare del trattamento può conservare i dati in attesa che la contestazione si risolva o che l’Autorità Garante esprima un giudizio in merito. ↑
- Il suddetto decreto contiene le “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)”. ↑
- Infatti, il diritto di limitazione ha natura di cautela probatoria, ad esempio le evidenze devono rimanere intatte così da essere utilizzate nel corso di eventuali richieste di risarcimento dei danni. ↑
- Si veda in merito il Provvedimento adottato dal Garante per la protezione dei dati personali in data 26 febbraio 2016, n. 1605301. ↑
- Si veda in proposito “Deliberazione n.14 del 23 dicembre 2004 – Contributo spese in caso di esercizio dei diritti dell’interessato”, disponibile in open source sul sito del Garante, in attesa delle linee guida nuove che dovrebbe adottare il Garante per la protezione dei dati personali. ↑
- Infatti, durante gli accertamenti eseguiti dall’Autorità Garante per la protezione dei dati personali, sono state rilevate oltre 8 milioni di telefonate a 2,7 milioni di persone, verso numerazioni proposte autonomamente dai partner di Fastweb e non inserite nelle liste di contattabilità trasmesse dalla compagnia telefonica (il c.d. “fuori lista”). In questi casi la società non era in grado di garantire che le persone contattate non si fossero iscritte al registro delle opposizioni o non si fossero comunque opposte a contatti commerciali.Pertanto, il Garante per la protezione dei dati personali ha vietato alla compagnia telefonica di trattare ulteriormente, per finalità di marketing, i dati di chi non ha manifestato un libero consenso o lo abbia revocato o abbia comunque fatto valere il diritto di opposizione. Inoltre, ha vietato di profilare gli utenti senza averli prima informati e aver acquisito il loro consenso. Si veda in proposito l’Ordinanza ingiunzione nei confronti di Fastweb S.p.A. del 26 luglio 2018 (doc. web N. 9040267). ↑
- Il 17 gennaio 2020 l’Autorità Garante per la protezione dei dati personali ha comminato sanzioni per Eni Gas Luce per 11,5 milioni di euro. Si veda in proposito il Provvedimento dell’11 dicembre 2019 (doc. web N. 924538), disponibile in open source sul sito del Garante. ↑
- E. Snowden, Errore di sistema, Longanesi, 2019. ↑