Art. 18 GDPR — Diritto di limitazione di trattamento

Commento

La funzione della limitazione

L'art. 18 GDPR riconosce il diritto di ottenere dal titolare la limitazione del trattamento dei dati. La limitazione è una misura intermedia tra cancellazione (art. 17) e prosecuzione: i dati restano nel sistema ma il loro trattamento è sospeso, salvo conservazione e specifiche eccezioni. È strumento di tutela cautelare: consente all'interessato di bloccare provvisoriamente il trattamento mentre si chiariscono questioni controverse (esattezza, liceità, opposizione). Le linee guida EDPB hanno consolidato un perimetro tecnico-operativo: la limitazione si traduce in flag tecnici, sospensione di workflow, isolamento del record.

Quattro ipotesi di limitazione (par. 1)

Il par. 1 elenca quattro ipotesi tassative: (a) l'interessato contesta l'esattezza dei dati, per il periodo necessario al titolare per verificare; (b) il trattamento è illecito e l'interessato si oppone alla cancellazione chiedendo limitazione; (c) il titolare non necessita più dei dati ma sono necessari all'interessato per accertare, esercitare o difendere un diritto in sede giudiziaria; (d) l'interessato si è opposto ex art. 21 in attesa di verifica della prevalenza dei motivi legittimi del titolare. Le ipotesi sono pensate per diverse situazioni di conflittualità.

Effetti della limitazione (par. 2)

Il par. 2 stabilisce gli effetti: i dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell'interessato o per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un'altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell'Unione o di uno SM. Lo schema è chiaro: di base, solo conservazione; eccezioni tassative per consenso, contenzioso, diritti altrui, interesse pubblico. La violazione (continuare a trattare i dati sospesi) è grave inadempimento sanzionato.

Informazione all'interessato (par. 3)

Il par. 3 prevede che, prima che la limitazione sia revocata, il titolare debba informare l'interessato. È regola di simmetria informativa: l'interessato ha attivato la limitazione per tutela e deve sapere quando essa cessa, per poter eventualmente attivare ulteriori rimedi (cancellazione, opposizione, ricorso). La revoca opera quando la causa che ha originato la limitazione viene meno: esattezza confermata, contenzioso chiuso, prevalenza dei motivi legittimi accertata.

Notifica ai destinatari (art. 19)

L'art. 19 impone al titolare di comunicare la limitazione a ciascun destinatario cui i dati sono stati trasmessi, salvo impossibilità o sforzo sproporzionato. La regola garantisce la propagazione della tutela cautelare lungo la catena del trattamento. Per i sistemi distribuiti (cloud, blockchain), la limitazione può richiedere misure tecniche complesse: flag distribuiti, sospensione di pipeline di analytics, esclusione da algoritmi di scoring.

Casi tipici applicativi

Sul piano applicativo, la limitazione è frequente nei contenziosi con dati personali (lavorativi, sanitari, bancari): il dipendente in causa contesta valutazioni; il paziente contesta una diagnosi; il cliente contesta scoring. In materia di profilazione e pubblicità, l'opposizione (art. 21) attiva automaticamente la limitazione in attesa di verifica dei motivi legittimi. Il Garante italiano ha sanzionato titolari che hanno continuato il marketing dopo opposizione, applicando entrambe le sanzioni (art. 21 + art. 18).

Regola pratica e checklist operativa

Compliance art. 18: (i) sistemi tecnici con flag di limitazione granulare; (ii) workflow di sospensione che escludono il record da nuovi trattamenti; (iii) tracciamento nei log; (iv) notifica ai destinatari (art. 19); (v) informazione preventiva alla revoca; (vi) procedura di verifica documentata. La capacità tecnica di limitare è criterio di adeguatezza ex art. 25 e art. 32.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.