L’interessato ha diritto di ottenere dal Titolate del Trattamento la limitazione del trattamento”.

L’art. 18 del GDPR stabilisce il diritto dell’interessato a che i suoi dati siano utilizzati limitatamente a quanto necessario ai fini della conservazione.

LIMITAZIONE COME CONTRASSEGNO

Il Regolamento Europeo definisce la limitazione come “il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro” (Art. 4 GDPR). Questa definizione dovrà essere tenuta in considerazione soprattutto da chi si occupa di programmazione e sviluppo dei sistemi informativi: “by design” infatti sarà necessario prevedere una funzionalità di questo tipo, che permetta di “contrassegnare” i dati personali memorizzati, i quali possono essere limitati potenzialmente in qualunque momento da parte dell’interessato o dell’Autorità Garante.

Si tratta quindi di una sorta di sospensione temporanea (ma che può anche diventare permanente) del trattamento in corso: unica eccezione è la conservazione dei dati, che può essere adottata dal Titolare solo dopo la valutazione di una serie di circostanze.

QUANDO UN TRATTAMENTO PUO’ ESSERE LIMITATO

Perché l’interessato possa esercitare tale diritto deve ricorrere almeno una delle seguenti ipotesi:

  • l’interessato contesta l’esattezza dei dati personali;
  • il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali;
  • i dati sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, mentre al titolare del trattamento non servono più a fini del trattamento;
  • l’interessato si è opposto al trattamento e si è in attesa delle verifiche necessarie per determinare se i motivi legittimi del titolare del trattamento prevalgano su quelli dell’interessato.

In ciascuno di questi casi, quindi, i dati possono essere trattati soltanto ai fini della loro conservazione, a meno che non vi sia il consenso dell’interessato o se tale trattamento sia necessario per “l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione Europea o di uno Stato Membro” (Art. 18 par 2 GDPR).

Nel caso in cui i dati personali oggetto di limitazione siano stati comunicati ad altri soggetti, è onere del titolare del trattamento darne comunicazione a ciascuno dei destinatari, a meno che ciò sia impossibile o implichi uno sforzo sproporzionato (Art. 19 GDPR) . In ogni caso, il titolare del trattamento è tenuto a comunicare tali destinatari all’interessato che ne faccia richiesta.

In un secondo momento la limitazione può essere revocata: prima che la revoca sia efficace però, il titolare del trattamento deve avvisare l’interessato.

COME SI LIMITA IL TRATTAMENTO?

Il Considerando 67 elenca, facendo esempi non tassativi, le modalità per limitare il trattamento dei dati personali:

  • nel trasferire temporaneamente i dati selezionati verso un altro sistema di trattamento;
  • nel rendere i dati personali selezionati inaccessibili agli utenti;
  • nel rimuovere temporaneamente i dati pubblicati da un sito web.

Lo stesso considerando, poi, evidenzia che “Negli archivi automatizzati, la limitazione del trattamento dei dati personali dovrebbe, in linea di massima, essere assicurata mediante dispositivi tecnici in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più essere modificati. Il sistema dovrebbe indicare chiaramente che il trattamento dei dati personali è stato limitato”.

BLOCCO E LIMITAZIONE A CONFRONTO

La limitazione del trattamento, dal punto di vista dell’interessato, si avvicina molto al blocco dei dati, previsto dall’attuale Codice Privacy: sono due diritti sostanzialmente simili e che producono medesimi effetti sull’utilizzo dei dati personali.

Nel caso della limitazione però è specificata meglio la possibilità per il titolare del trattamento di poter almeno conservare i dati in attesa della risoluzione della contestazione a lui mossa da parte dell’interessato o in attesa di un giudizio da parte dell’Autorità Garante

COME DEVONO COMINCIARE A MUOVERSI LE AZIENDE?

Sarà opportuno che i Titolari de trattamento rivedano le privacy policy interne (ma anche le soluzioni tecnologiche adottate) per capire se siano in grado di garantire la limitazione dei trattamenti, qualora venisse loro richiesta.

Sarebbe bene che cominciassero a tener traccia dei destinatari ai quali vengono trasmessi i dati, così da poter provvedere tempestivamente anche alle comunicazioni a terzi.

 

Fonte [Ipsoa, Cristina Vicarelli.it, Studio Legale Elisi]

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!