In sintesi
- L'art. 23 GDPR ammette limitazioni nazionali ai diritti degli artt. 12-22 e all'art. 34.
- Le materie sono tassative (par. 1): sicurezza, prevenzione reati, ordine pubblico, salute, ecc.
- Le limitazioni vanno disciplinate per legge specifica con elementi del par. 2.
- Proporzionalità e necessità sono requisiti cogenti, sindacati dalla CGUE.
- In Italia: art. 2-undecies D.Lgs. 196/2003 e provvedimenti settoriali.
- Sindacato di legittimità in sede di rinvio pregiudiziale alla CGUE.
Testo dell'articoloVigente
Articolo 23 del Regolamento (UE) 2016/679 (GDPR) — Limitazioni.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
La logica delle limitazioni nazionali
L'art. 23 GDPR ammette che il diritto UE o nazionale possa limitare con misura legislativa la portata degli obblighi e dei diritti di cui agli artt. 12-22 e dell'art. 34 (notifica all'interessato del data breach), nonché del corrispondente principio dell'art. 5, quando la limitazione rispetta l'essenza dei diritti e delle libertà fondamentali ed è una misura necessaria e proporzionata in una società democratica. È la valvola di sistema per consentire restrizioni motivate da esigenze pubbliche superiori (sicurezza, prevenzione di reati, ordine pubblico, difesa, salute pubblica). Le limitazioni sono ammesse, ma non discrezionali: vanno disciplinate per legge, motivate, proporzionate.
Materie ammesse alle limitazioni (par. 1)
Il par. 1 elenca tassativamente le materie in cui le limitazioni sono ammesse: sicurezza nazionale (a); difesa (b); sicurezza pubblica (c); prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali (d); altri obiettivi di interesse pubblico generale (e); protezione dell'indipendenza giudiziaria (f); prevenzione, indagine, accertamento e perseguimento di violazioni della deontologia (g); compito di controllo e ispezione di funzioni pubbliche (h); interessi economici o finanziari rilevanti (i); protezione dell'interessato o dei diritti e delle libertà di altri (j); esecuzione di azioni civili (j). L'elenco è chiuso: nuove materie non possono essere aggiunte dal legislatore nazionale.
Requisiti delle misure legislative (par. 2)
Il par. 2 prevede che la misura legislativa contenga disposizioni specifiche almeno, ove pertinente, su: finalità e categorie di trattamento; categorie di dati personali; portata delle limitazioni introdotte; garanzie per prevenire abusi o accessi illegittimi; specificazione del titolare o categorie di titolari; periodi di conservazione e garanzie applicabili; rischi per i diritti e le libertà degli interessati; diritto degli interessati di essere informati della limitazione, salvo che ciò pregiudichi la finalità. È checklist sostanziale: una norma nazionale che limita un diritto GDPR senza questi elementi è viziata e disapplicabile.
Bilanciamento e proporzionalità
Il bilanciamento richiede proporzionalità e necessità. La CGUE ha più volte annullato norme nazionali che limitavano i diritti GDPR senza adeguata proporzionalità (es. data retention per fini di sicurezza, accessi indiscriminati). Il test è triplo: la limitazione persegue una finalità legittima (par. 1)? È necessaria per quella finalità (no alternative meno invasive)? È proporzionata (bilanciamento costi/benefici)? La giurisprudenza CGUE consolidata in materia di sorveglianza, retention, accessi degli organi di polizia ha precisato i criteri.
Limitazioni italiane nel D.Lgs. 196/2003
In Italia, le limitazioni operative sono nel D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018: art. 2-undecies disciplina i casi in cui i diritti dell'interessato sono limitati (interessi tutelati dal segreto, attività di forze di polizia, attività dell'autorità giudiziaria, esame ricorsi, lotta contro evasione/contraffazione, ispezione vigilanza, antiriciclaggio). Altri provvedimenti settoriali (giornalismo, sanità, lavoro) integrano il quadro. L'art. 2-undecies, par. 3, prevede che l'interessato possa rivolgersi al titolare o al Garante per esercitare i diritti, anche per il tramite dell'autorità giudiziaria.
Controllo giurisdizionale e CGUE
Il controllo giurisdizionale è centrale. Le norme nazionali che limitano i diritti GDPR sono sindacabili dalla CGUE su rinvio pregiudiziale (art. 267 TFUE). Le sentenze degli ultimi anni hanno annullato molte misure nazionali di sorveglianza massiva e data retention. La Corte costituzionale italiana (sentenze ordinarie e in materia di privacy) ha integrato il sindacato. La conformità delle limitazioni nazionali al GDPR è dunque oggetto di controllo continuo, sia ex ante (in fase legislativa) sia ex post (in sede contenziosa).
Regola pratica e checklist operativa
Compliance art. 23 per le PA e settori regolati: (i) verificare l'esistenza di base legale specifica; (ii) verificare i requisiti del par. 2 (finalità, garanzie, retention); (iii) limitare l'applicazione al minimo necessario; (iv) informare l'interessato della limitazione (salvo pregiudizio); (v) garantire il rimedio (Garante, giudice); (vi) periodico riesame. Le limitazioni eccessive sono disapplicabili per contrasto con il GDPR.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: indagine penale e accesso
Tizio chiede accesso ai propri dati a una banca. La banca invoca limitazione ex art. 2-undecies D.Lgs. 196/2003 per pendente segnalazione antiriciclaggio. La limitazione è ammessa, ma temporanea: Tizio può rivolgersi al Garante.
Caso 2: Caio: PA e ricorso amministrativo
Caio ricorre contro provvedimento di una PA e chiede accesso al fascicolo. L'accesso può essere limitato in materia di esame di ricorsi, salvo motivata istanza. Il Garante e il TAR possono accertare l'eccesso.
Caso 3: Sempronio: data retention
Sempronio, telco, deve conservare metadati per finalità di sicurezza ex D.Lgs. 196/2003 e Direttiva ePrivacy. La CGUE ha sindacato la conservazione indiscriminata: solo retention mirata e proporzionata è ammessa.
Caso 4: Commento applicativo
L'art. 23 è la valvola di sistema. Le limitazioni nazionali sono frequenti ma non discrezionali: vanno disciplinate per legge con elementi del par. 2 e sindacate per proporzionalità. La CGUE ha annullato numerose limitazioni eccessive.
Domande frequenti
Quali diritti possono essere limitati?
Quelli degli artt. 12-22 (informazione, accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, decisioni automatizzate), nonché l'art. 34 (notifica breach) e il principio corrispondente dell'art. 5.
Chi può introdurre le limitazioni?
Il diritto UE o nazionale con misura legislativa. Non sono ammesse limitazioni discrezionali del titolare o regolamenti amministrativi privi di base legale.
Quali sono le materie ammesse?
Tassativamente: sicurezza nazionale, difesa, sicurezza pubblica, prevenzione/perseguimento reati, obiettivi di interesse pubblico, indipendenza giudiziaria, deontologia, controllo e ispezione, interessi economici, protezione altrui, esecuzione di azioni civili.
Quali requisiti deve avere la norma limitativa?
Gli elementi del par. 2: finalità, categorie di trattamento e dati, portata, garanzie, titolare, retention, rischi, informazione all'interessato (salvo pregiudizio).
Posso impugnare una limitazione?
Sì, davanti al Garante (reclamo art. 77) o al giudice amministrativo (per atti della PA) e al giudice ordinario. La compatibilità con il GDPR può essere oggetto di rinvio pregiudiziale alla CGUE.
Vedi anche