Art. 19 GDPR — Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento

Commento

La logica della propagazione

L'art. 19 GDPR impone al titolare di comunicare a ciascun destinatario cui sono stati trasmessi i dati personali le eventuali rettifiche (art. 16), cancellazioni (art. 17) o limitazioni del trattamento (art. 18) effettuate, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. La norma realizza il principio della propagazione della tutela lungo la catena del trattamento: senza notifica, la rettifica nel sistema del titolare non avrebbe effetto presso i destinatari, e l'interessato resterebbe esposto a duplicazione di dati errati o cancellati.

Onere principale e doveri operativi

Il titolare ha l'obbligo principale di trasmettere ai destinatari la notifica del provvedimento (rettifica, cancellazione, limitazione). I destinatari includono altri titolari (es. partner commerciali, contitolari ex art. 26), responsabili (ex art. 28) e sub-responsabili. Per le rettifiche, vanno trasmesse le informazioni corrette; per le cancellazioni, l'ordine di eliminare il record; per le limitazioni, l'ordine di non procedere a nuovi trattamenti diversi dalla conservazione. La notifica può essere effettuata individualmente o tramite sistemi di sincronizzazione automatica.

Eccezione di impossibilità o sforzo sproporzionato

L'eccezione di impossibilità o sforzo sproporzionato va valutata in modo restrittivo. La giurisprudenza del Garante e l'EDPB hanno chiarito che non basta affermare la difficoltà tecnica: occorre dimostrarla. Impossibilità è ipotesi rara (es. fornitore cessato senza successore); sforzo sproporzionato richiede valutazione costi/benefici tenendo conto della natura del trattamento, del numero dei destinatari, dei rischi per l'interessato. Per trattamenti su larga scala, sistemi di sincronizzazione automatica (API, webhook) sono lo standard di adeguatezza.

Diritto di conoscere i destinatari

L'art. 19, ultimo periodo, prevede che il titolare comunica all'interessato tali destinatari su richiesta dell'interessato. È il diritto strumentale al monitoraggio della propagazione: l'interessato può verificare a chi è stata notificata la modifica e, se necessario, agire direttamente verso i destinatari. La richiesta dell'interessato attiva l'obbligo del titolare di fornire l'elenco completo dei destinatari. La CGUE ha precisato in più pronunce che il diritto include l'indicazione specifica dei destinatari, non mere categorie generiche.

Implementazione tecnica

Sul piano tecnico, l'implementazione dell'art. 19 richiede: registro dei destinatari per ogni record (chi ha ricevuto cosa e quando); workflow di propagazione automatica per modifiche, cancellazioni e limitazioni; API o canali di notifica con destinatari abituali; log delle notifiche inviate e ricevute. Sistemi che non supportano la propagazione automatica sono inadeguati al GDPR. Per il marketing diretto, l'integrazione con i provider DSP e ad-tech è particolarmente complessa: la deduplica della cancellazione lungo la catena pubblicitaria è il fronte applicativo attivo.

Coordinamento con art. 12 e art. 30

Il coordinamento con l'art. 12 impone termini e modalità di risposta all'interessato che richiede l'elenco dei destinatari (1 mese, gratuitamente, motivato). Il coordinamento con l'art. 30 impone l'aggiornamento del registro dei trattamenti con i destinatari per ciascun trattamento. La compliance art. 19 si misura quindi sull'integrazione di processi: registro, notifica, log, comunicazione all'interessato. Le sanzioni del Garante hanno colpito titolari che hanno corretto i propri sistemi ma non hanno propagato la modifica.

Regola pratica e checklist operativa

Compliance art. 19: (i) registro destinatari per ogni trattamento; (ii) workflow automatico di propagazione (API/webhook); (iii) log delle notifiche; (iv) integrazione con CRM/CDP/DSP/HRMS; (v) procedure manuali residuali per partner non integrati; (vi) risposta tempestiva alla richiesta dell'interessato sui destinatari. È parte integrante di art. 16-18.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.